DForce Protocol Exploited of $3.6 Million on Arbitrum and Optimism Chains

COINCU · 2023-02-10T17:20:05.000Z

Key Points: The Arbitrum and Optimism chains were the targets of a reentrancy attack that cost the DForce DeFi protocol $3.6 million. When connected to Curve Finance, a smart contract function used to determine oracle pricing had a weakness that led to the attack. An apparent reentrancy attack on a Curve vault that the decentralized finance (DeFi) protocol dForce ran on the Arbitrum and Optimism blockchains resulted in the theft of more than $3.6 million. In a recent tweet, the DeFi initiative acknowledged the situation and added that it had halted its contracts to limit additional harm. On Feb 10, our wstETH/ETH Curve vaults on Arbitrum & Optimism were exploited and we immediately paused all vaults. The vulnerability is identified, and the exploit was specific to dForce's wstETH/ETH-Curve vault. Users' funds supplied to dForce Lending and other vaults are SAFE. — dForce (@dForcenet) February 10, 2023 A reentrancy vulnerability, which can happen when an attacker repeatedly calls a smart contract function and pulls assets from it before the contract updates its internal state, appears to have made the attack possible. This may occur if the smart contract code contains a defect or if adequate security measures are not taken. Following the thread, dForce stated that the price of wstETH/ETH was manipulated by the exploiter using a Curve pool reentrancy flaw, which resulted in the liquidation of 1,031.42 ETH and 30.31 ETH equivalent of wstETH/ETH Curve LP tokens on Arbitrum and Optimum, respectively. It also produced $2.3 million in protocol debt. The hack caused around $3.6 million in total damages, according to BlockSec and PeckShield, two top crypto security companies. The estimated loss of today's @dForcenet hack is ～$3.65M (w/ 1,236.65 ETH + 719,437 USX on @arbitrum and 1,037,492 USDC on @optimismFND). Our initial analysis shows the root cause is an oracle price issue. More details to come! https://t.co/PEzoX1emdp pic.twitter.com/tI9BPcfvWH — PeckShield Inc. (@peckshield) February 10, 2023 When connected to Curve Finance, dForce employed a smart contract function that had the reentrancy bug to determine oracle prices on the Arbitrum and Optimism chains. When linked to Curve, any protocol can call the particular function, known as “get_virtual_price,” which provides an approximated oracle price. It is used to figure out how much the liquidity pool token will cost. According to The Block, Matthew Jiang, director of security services at BlockSec, said that any protocol using the “get_virtual_price” function to calculate the price oracle is vulnerable, including dForce. Projects need to be more cautious and take additional steps while estimating oracle prices, as they can be manipulated by malicious actors to carry out reentrancy attacks. DISCLAIMER: The Information on this website is provided as general market commentary and does not constitute investment advice. We encourage you to do your research before investing. Join us to keep track of news: https://linktr.ee/coincu Thana Coincu News

Ключевые моменты:
Цепочки Arbitrum и Optimism стали объектами повторной атаки, которая обошлась протоколу DForce DeFi в 3,6 миллиона долларов.
При подключении к Curve Finance функция смарт-контракта, используемая для определения цен оракула, имела слабость, которая привела к атаке.
Очевидная повторная атака на хранилище Curve, которое протокол децентрализованного финансирования (DeFi) dForce запускал в блокчейнах Arbitrum и Optimism, привела к краже более 3,6 миллиона долларов.
В недавнем твите инициатива DeFi признала ситуацию и добавила, что приостановила выполнение контрактов, чтобы ограничить дополнительный ущерб.
10 февраля наши хранилища wstETH/ETH Curve на Arbitrum & Optimism были взломаны, и мы немедленно приостановили все хранилища. Уязвимость обнаружена, и эксплойт был специфичен для хранилища dForce wstETH/ETH-Curve. Средства пользователей, передаваемые в dForce Lending и другие хранилища, БЕЗОПАСНЫ.
– dForce (@dForcenet) 10 февраля 2023 г.
Уязвимость повторного входа, которая может возникнуть, когда злоумышленник неоднократно вызывает функцию смарт-контракта и извлекает из нее активы до того, как контракт обновит свое внутреннее состояние, по-видимому, сделала атаку возможной. Это может произойти, если код смарт-контракта содержит дефект или если не приняты адекватные меры безопасности.
После обсуждения dForce заявил, что эксплуататор манипулировал ценой wstETH/ETH с использованием ошибки реентерабельности пула Curve, что привело к ликвидации 1031,42 ETH и 30,31 ETH, эквивалентных токенам wstETH/ETH Curve LP на Arbitrum и Optimum соответственно. . Это также привело к возникновению протокольного долга на сумму 2,3 миллиона долларов.
По данным BlockSec и PeckShield, двух ведущих компаний по криптобезопасности, общий ущерб в результате взлома составил около 3,6 миллиона долларов.
Предполагаемый ущерб от сегодняшнего взлома @dForcenet составляет ~$3,65 млн (включая 1 236,65 ETH + 719 437 USX на @ арбитраже и 1 037 492 USDC на @optimismFND). Наш первоначальный анализ показывает, что основной причиной является проблема с ценами Oracle. Более подробная информация будет позже! https://t.co/PEzoX1emdp pic.twitter.com/tI9BPcfvWH
– PeckShield Inc. (@peckshield) 10 февраля 2023 г.
При подключении к Curve Finance dForce использовала функцию смарт-контракта с ошибкой повторного входа для определения цен оракулов в цепочках Arbitrum и Optimism.
При подключении к Curve любой протокол может вызывать определенную функцию, известную как «get_virtual_price», которая предоставляет приблизительную цену оракула. Он используется для расчета стоимости токена пула ликвидности.
По сообщению The Block, Мэтью Цзян, директор службы безопасности BlockSec, заявил, что любой протокол, использующий функцию get_virtual_price для расчета ценового оракула, уязвим, включая dForce.
Проектам необходимо быть более осторожными и предпринимать дополнительные шаги при оценке цен оракула, поскольку злоумышленники могут манипулировать ими для проведения повторных атак.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте представлена ​​в качестве общего комментария к рынку и не представляет собой инвестиционный совет. Мы рекомендуем вам провести исследование, прежде чем инвестировать.
Присоединяйтесь к нам, чтобы следить за новостями: https://linktr.ee/coincu
Тана
Новости Коинку

Протокол DForce использовал 3,6 миллиона долларов в цепочках арбитража и оптимизма

Другие публикации автора

Последние новости

Протокол DForce использовал 3,6 миллиона долларов в цепочках арбитража и оптимизма

Другие публикации автора

Последние новости

Популярные статьи