Il protocollo di finanza decentralizzata (DeFi) dForce ha subito un attacco di vulnerabilità di rientro che ha portato alla perdita di risorse crittografiche per un valore di 3,6 milioni di dollari.
L'attaccante ha preso di mira il caveau del protocollo sulla piattaforma di automatizzato market maker (AMM) Curve Finance, che opera sulle blockchain Arbitrum e Optimism.
dForce sfruttato per 3,65 milioni di dollari
L'hack è stato segnalato per la prima volta dall'utente Twitter @ZoomerAnon che ha annunciato che dForce aveva perso circa $ 1,7 milioni in una serie di transazioni di prestito flash sulla catena Optimism. L'attacco è stato successivamente confermato dalla società di sicurezza blockchain PeckShield, che ha arrotondato le perdite totali a 2.300 token ETH ($ 3,65 milioni).
L'hacker ha sfruttato una vulnerabilità di rientro presente in una funzione di contratto intelligente che dForce utilizza per ottenere prezzi Oracle su Arbitrum e Optimism quando è connesso a Curve.
Un attacco di rientro si verifica quando un malintenzionato sfrutta un bug in uno smart contract e ritira ripetutamente i fondi trasferiti a un contratto non autorizzato. È noto pubblicamente che tali attacchi si verificano sui protocolli collegati a Curve, mentre l'AMM rimane intatto.
PeckShield ha inoltre spiegato che l'autore ha manipolato il prezzo dell'ETH in stake avvolto nel caveau Curve (wstETHCRV-gauge) ed è stato in grado di liquidare diverse posizioni di prestito flash utilizzando il wstETHCRV-gauge come garanzia.
L'importo iniziale, 0.99ETH, è stato prelevato dal sistema DeFi RAILGUN Project e trasferito tramite Synapse Network ad Arbitrum e Optimism. Al momento della stampa, i fondi erano ancora sul conto dello sfruttatore.
dForce offre taglie all'attaccante
dForce ha confermato che l'attacco, che era distinto solo dal suo caveau wstETH/ETH-Curve, era stato contenuto e tutti i caveau erano stati messi in pausa. Il protocollo assicurava agli utenti che i fondi forniti ad altri caveau, compresi i prestiti, erano al sicuro.
La piattaforma ha anche rivelato che lo sfruttatore ha creato un debito di protocollo di $ 2,3 milioni dopo aver liquidato rispettivamente 1.031,42 e wstETH/ETH su Arbitrum e Optimum.
“Ci siamo impegnati con la società di sicurezza @SlowMist_team e i nostri partner dell'ecosistema per indagare ulteriormente sulla questione e vorremmo offrire una taglia allo sfruttatore se i fondi fossero restituiti. Restate sintonizzati per ulteriori aggiornamenti", ha affermato dForce.
Il post DeFi Protocol dForce Loses $3.6M in Reentrancy Attack è apparso prima su CryptoPotato .