Ключевые моменты:
Цепочки Arbitrum и Optimism стали объектами повторной атаки, которая обошлась протоколу DForce DeFi в 3,6 миллиона долларов.
При подключении к Curve Finance функция смарт-контракта, используемая для определения цен оракула, имела слабость, которая привела к атаке.
Очевидная повторная атака на хранилище Curve, которое протокол децентрализованного финансирования (DeFi) dForce запускал в блокчейнах Arbitrum и Optimism, привела к краже более 3,6 миллиона долларов.
В недавнем твите инициатива DeFi признала ситуацию и добавила, что приостановила выполнение контрактов, чтобы ограничить дополнительный ущерб.
10 февраля наши хранилища wstETH/ETH Curve на Arbitrum & Optimism были взломаны, и мы немедленно приостановили все хранилища. Уязвимость обнаружена, и эксплойт был специфичен для хранилища dForce wstETH/ETH-Curve. Средства пользователей, передаваемые в dForce Lending и другие хранилища, БЕЗОПАСНЫ.
– dForce (@dForcenet) 10 февраля 2023 г.
Уязвимость повторного входа, которая может возникнуть, когда злоумышленник неоднократно вызывает функцию смарт-контракта и извлекает из нее активы до того, как контракт обновит свое внутреннее состояние, по-видимому, сделала атаку возможной. Это может произойти, если код смарт-контракта содержит дефект или если не приняты адекватные меры безопасности.
После обсуждения dForce заявил, что эксплуататор манипулировал ценой wstETH/ETH с использованием ошибки реентерабельности пула Curve, что привело к ликвидации 1031,42 ETH и 30,31 ETH, эквивалентных токенам wstETH/ETH Curve LP на Arbitrum и Optimum соответственно. . Это также привело к возникновению протокольного долга на сумму 2,3 миллиона долларов.
По данным BlockSec и PeckShield, двух ведущих компаний по криптобезопасности, общий ущерб в результате взлома составил около 3,6 миллиона долларов.
Предполагаемый ущерб от сегодняшнего взлома @dForcenet составляет ~$3,65 млн (включая 1 236,65 ETH + 719 437 USX на @ арбитраже и 1 037 492 USDC на @optimismFND). Наш первоначальный анализ показывает, что основной причиной является проблема с ценами Oracle. Более подробная информация будет позже! https://t.co/PEzoX1emdp pic.twitter.com/tI9BPcfvWH
– PeckShield Inc. (@peckshield) 10 февраля 2023 г.
При подключении к Curve Finance dForce использовала функцию смарт-контракта с ошибкой повторного входа для определения цен оракулов в цепочках Arbitrum и Optimism.
При подключении к Curve любой протокол может вызывать определенную функцию, известную как «get_virtual_price», которая предоставляет приблизительную цену оракула. Он используется для расчета стоимости токена пула ликвидности.
По сообщению The Block, Мэтью Цзян, директор службы безопасности BlockSec, заявил, что любой протокол, использующий функцию get_virtual_price для расчета ценового оракула, уязвим, включая dForce.
Проектам необходимо быть более осторожными и предпринимать дополнительные шаги при оценке цен оракула, поскольку злоумышленники могут манипулировать ими для проведения повторных атак.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте представлена в качестве общего комментария к рынку и не представляет собой инвестиционный совет. Мы рекомендуем вам провести исследование, прежде чем инвестировать.
Присоединяйтесь к нам, чтобы следить за новостями: https://linktr.ee/coincu
Тана
Новости Коинку