Протокол децентрализованных финансов dForce подвергся атаке уязвимости с повторным входом, что привело к потере криптоактивов на сумму $3,6 миллиона. Злоумышленник нацелился на хранилище протокола на платформе автоматизированного маркет-мейкера (AMM) Curve Finance, которая работает на блокчейнах Arbitrum и Optimism.
Взлом был впервые замечен пользователем твиттера @ZoomerAnon, который объявил, что dForce потеряла около $1,7 миллиона в серии транзакций по мгновенному кредитованию в сети Optimism. Позже атака была подтверждена компанией по блокчейн-безопасности PeckShield, которая округлила общие потери до 2300 ETH ($3,65 миллиона).
Хакер использовал уязвимость повторного входа, присутствующую в функции смарт-контракта, которую dForce использует для получения цен оракула на Arbitrum и Optimism при подключении к Curve.
Атака с повторным входом происходит, когда злоумышленник использует ошибку в смарт-контракте и неоднократно выводит средства, переведенные на несанкционированный контракт. Общеизвестно, что такие атаки происходят на протоколы, связанные с Curve, в то время как AMM остается нетронутым.
PeckShield также пояснила, что злоумышленник манипулировал ценой обернутых ETH в стейкинге в хранилище Curve (wstETHCRV-gauge) и смог ликвидировать несколько позиций срочного кредита, используя wstETHCRV-gauge в качестве залога.
Первоначальная сумма, 0,99ETH, была выведена из системы DeFi RAILGUN Project и переведена через сеть Synapse в Arbitrum и Optimism. На момент публикации средства все еще находились на счету эксплойтера.
dForce подтвердила, что атака, которая была характерна только для хранилища wstETH/ETH-Curve, была остановлена, и все хранилища были приостановлены. Протокол заверил пользователей, что средства, переданные в другие хранилища, в том числе кредитные, находятся в безопасности.
Платформа также сообщила , что эксплуататор создал протокольный долг в размере $2,3 миллиона после ликвидации 1031,42 и wstETH/ETH на Arbitrum и Optimum соответственно.
«Мы связались с охранной компанией @SlowMist_team и нашими партнерами по экосистеме для дальнейшего расследования этого вопроса и хотели бы предложить вознаграждение эксплуататору, если средства будут возвращены. Следите за дальнейшими обновлениями», — сказал dForce.
Читайте также: