Những điểm chính:
Chuỗi Arbitrum và Optimism là mục tiêu của một cuộc tấn công tái tổ chức khiến giao thức DForce DeFi thiệt hại 3,6 triệu USD.
Khi được kết nối với Curve Finance, chức năng hợp đồng thông minh được sử dụng để xác định giá tiên tri có một điểm yếu dẫn đến cuộc tấn công.
Một cuộc tấn công tái xuất hiện rõ ràng vào kho Curve mà giao thức tài chính phi tập trung (DeFi) dForce chạy trên chuỗi khối Arbitrum và Optimism đã dẫn đến hành vi trộm cắp hơn 3,6 triệu đô la.
Trong một tweet gần đây, sáng kiến DeFi đã thừa nhận tình hình và nói thêm rằng họ đã tạm dừng các hợp đồng của mình để hạn chế thêm tác hại.
Vào ngày 10 tháng 2, kho lưu trữ wstETH/ETH Curve của chúng tôi trên Arbitrum & Optimism đã bị khai thác và chúng tôi ngay lập tức tạm dừng tất cả các kho lưu trữ. Lỗ hổng đã được xác định và cách khai thác dành riêng cho kho wstETH/ETH-Curve của dForce. Tiền của người dùng được cung cấp cho dForce Lending và các kho tiền khác đều AN TOÀN.
- dForce (@dForcenet) Ngày 10 tháng 2 năm 2023
Lỗ hổng reentrancy, có thể xảy ra khi kẻ tấn công liên tục gọi chức năng hợp đồng thông minh và lấy tài sản từ nó trước khi hợp đồng cập nhật trạng thái nội bộ của nó, dường như đã khiến cuộc tấn công có thể xảy ra. Điều này có thể xảy ra nếu mã hợp đồng thông minh có lỗi hoặc nếu không thực hiện các biện pháp bảo mật thích hợp.
Theo chủ đề, dForce tuyên bố rằng giá của wstETH/ETH đã bị kẻ khai thác thao túng bằng cách sử dụng lỗ hổng đăng nhập lại Curve pool, dẫn đến việc thanh lý 1.031,42 ETH và 30,31 ETH tương đương với các token wstETH/ETH Curve LP trên Arbitrum và Optimum, tương ứng . Nó cũng tạo ra khoản nợ giao thức 2,3 triệu USD.
Theo BlockSec và PeckShield, hai công ty bảo mật tiền điện tử hàng đầu, vụ hack đã gây ra tổng thiệt hại khoảng 3,6 triệu USD.
Thiệt hại ước tính của vụ hack @dForcenet hôm nay là ~ 3,65 triệu USD (w/ 1.236,65 ETH + 719.437 USX trên @arbitrum và 1.037.492 USDC trên @optimismFND). Phân tích ban đầu của chúng tôi cho thấy nguyên nhân cốt lõi là vấn đề về giá cả. Thêm chi tiết sẽ đến! https://t.co/PEzoX1emdp pic.twitter.com/tI9BPcfvWH
- PeckShield Inc. (@peckshield) Ngày 10 tháng 2 năm 2023
Khi được kết nối với Curve Finance, dForce đã sử dụng chức năng hợp đồng thông minh có lỗi đăng ký lại để xác định giá tiên tri trên chuỗi Arbitrum và Optimism.
Khi được liên kết với Curve, bất kỳ giao thức nào cũng có thể gọi hàm cụ thể, được gọi là “get_virtual_price”, hàm này cung cấp giá tiên tri gần đúng. Nó được sử dụng để tính toán token nhóm thanh khoản sẽ có giá bao nhiêu.
Theo The Block, Matthew Jiang, giám đốc dịch vụ bảo mật tại BlockSec, cho biết bất kỳ giao thức nào sử dụng chức năng “get_virtual_price” để tính toán giá oracle đều dễ bị tấn công, bao gồm cả dForce.
Các dự án cần phải thận trọng hơn và thực hiện các bước bổ sung trong khi ước tính giá oracle, vì chúng có thể bị các tác nhân độc hại thao túng để thực hiện các cuộc tấn công reentrancy.
TUYÊN BỐ TỪ CHỐI TRÁCH NHIỆM: Thông tin trên trang web này được cung cấp dưới dạng bình luận chung về thị trường và không phải là lời khuyên đầu tư. Chúng tôi khuyến khích bạn thực hiện nghiên cứu trước khi đầu tư.
Hãy cùng chúng tôi theo dõi tin tức: https://linktr.ee/coincu
Thana
Tin tức Coincu
