Adroddodd DFX Finance, protocol cyfnewid datganoledig ar gyfer stablau fiat-pegged, yr ymosodwyd arno am 2:21 pm ET. Seiffoniodd ymosodwr anhysbys tua $7.5 miliwn o DFX, yn ôl amcangyfrifon gan ymchwilwyr diogelwch yn BlockSec.
Cydnabu tîm Cyllid DFX y camfanteisio diogelwch a dywedodd ei fod wedi oedi ei holl gontractau smart i gynnwys y mater. “Cawsom ein hysbysu o’r gweithgaredd amheus o fewn 20-30 munud i’r trafodiad cyntaf a gweithredu saib ar bob contract DFX o fewn ychydig funudau ar ôl cadarnhau’r ymosodiad,” meddai. Dywedodd.
Mae'n ymddangos bod y digwyddiad yn ymosodiad wedi'i alluogi gan fflach-fenthyciad sy'n gadael i'r haciwr dynnu'n ôl yn faleisus o DFX. O'r $7.5 miliwn mewn asedau wedi'u dwyn, dim ond gwerth $4.3 miliwn o asedau y gallai'r ymosodwr eu trosglwyddo i'w waled - gan gynnwys 2963 ether ($3.8 miliwn) a rhai $500,000 mewn stablau.
Mae'r gyfran sy'n weddill o'r asedau wedi'u dwyn - tua $ 3.2 miliwn - ei dynnu gan bot MEV mewn trafodiad blaen-redeg, a elwir hefyd yn ymosodiad rhyngosod. Mae'r cronfeydd bot-echdynnu yn eistedd mewn an Cyfeiriad a reolir gan y gweithredwr bot a gellir ei adennill os yw'r gweithredwr yn fodlon. Mae gan DFX Finance eisoes gofyn y gweithredwr i'w dychwelyd.
Y fector ymosodiad
Manteisiodd yr ymosodwr ar fecanwaith fflach-fenthyciad ansicr a gynigiwyd gan DFX Finance ar y blockchain Ethereum. Mae benthyciad fflach yn nodwedd lle gellir benthyca llawer iawn o arian cyfred digidol heb unrhyw gyfochrog, dim ond os dychwelir yr arian hwnnw yn yr un trafodiad.
Yn ystod yr ymosodiad, benthycodd yr ymosodwr ddarnau arian sefydlog o fewn DFX Finance ac yna eu hadneuo yn ôl i byllau hylifedd DFX gyda “swyddogaeth galw yn ôl ansicr” a oedd yn osgoi ei wiriadau benthyciad fflach. Ar ôl y benthyciad fflach, roedd gan yr ymosodwr docynnau cronfa hylifedd yn ei feddiant o hyd, y gwnaethant eu gwerthu.
Fe wnaeth yr ymosodiad ddraenio tocynnau cronfa hylifedd DFX trwy fenthyciadau fflach lluosog i gymryd rheolaeth o dros $7.5 miliwn. Dywed dadansoddwyr diogelwch yn BlockSec na ddylai adneuon cronfa hylifedd fod wedi'u caniatáu, gan ei fod wedi twyllo'r protocol i gredu bod yr arian wedi'i ddychwelyd a'i fod yn ddiogel.
“Pan fydd defnyddiwr yn benthyca arian, ni ddylai’r protocol ganiatáu unrhyw alwadau swyddogaeth a all newid cydbwysedd y protocol DFX,” meddai Prif Swyddog Gweithredol BlockSec, Yajin Zhou, wrth The Block.
Er bod benthyciadau fflach wedi'u bwriadu ar gyfer masnachu arbitrage a gwella effeithlonrwydd cyfalaf, mae hacwyr wedi eu cam-drin yn rheolaidd i fanteisio ar rai gwendidau.
Y llynedd, DFX Finance codi rownd hadau $5 miliwn dan arweiniad Polychain Capital a True Ventures.
© 2022 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss