İtibari paraya sabitlenmiş sabit paralar için merkezi olmayan bir değişim protokolü olan DFX Finance, saat 14:21 ET’de saldırıya uğradığını bildirdi. BlockSec’teki güvenlik araştırmacılarının tahminlerine göre, bilinmeyen bir saldırgan DFX’ten yaklaşık 7,5 milyon dolar çaldı.
DFX Finans ekibi, güvenlik açığını kabul etti ve sorunu kontrol altına almak için tüm akıllı sözleşmelerini duraklattığını söyledi. “İlk işlemden 20-30 dakika sonra şüpheli etkinlikten haberdar olduk ve saldırıyı onayladıktan birkaç dakika sonra tüm DFX sözleşmelerinde duraklama gerçekleştirdik” dedi.
Olay, bilgisayar korsanının DFX’ten kötü niyetli bir geri çekilme yapmasına izin veren flash kredisi etkin bir saldırı gibi görünüyor. Saldırgan, çalınan 7,5 milyon dolarlık varlıktan, 2963 ether (3,8 milyon dolar) ve yaklaşık 500.000 dolarlık stablecoin dahil olmak üzere, cüzdanına yalnızca 4,3 milyon dolarlık varlık aktarabildi.
Çalınan varlıkların geri kalan kısmı – yaklaşık 3,2 milyon dolar – bir MEV botu tarafından sandviç saldırısı olarak da adlandırılan önden yürütülen bir işlemde çıkarıldı. Bot tarafından çıkarılan fonlar, bot operatörü tarafından kontrol edilen bir adreste bulunur ve operatör isterse geri alınabilir. DFX Finance, operatörden bunları iade etmesini istedi.
Saldırgan, DFX Finance içerisindeki flash kredi mekanizmasını kullandı
Saldırgan, Ethereum blok zincirinde DFX Finance tarafından sunulan güvenli olmayan bir flash kredi mekanizmasından yararlandı. Flaş kredi, büyük miktarda kripto para biriminin teminatsız olarak, ancak bu fonlar aynı işlemde iade edilirse ödünç alınabileceği bir özelliktir.
Saldırgan, saldırı sırasında DFX Finance içinde sabit paralar ödünç aldı ve ardından bunları, flash kredi kontrollerini atlayan bir “güvensiz geri arama işlevi” ile DFX’in likidite havuzlarına geri yatırdı. Ani krediden sonra, saldırganın elinde hala sattığı likidite havuzu jetonları vardı.
Saldırı, DFX’in likidite havuzu jetonlarını, 7,5 milyon doların üzerinde kontrolü ele geçirmek için birden fazla flash kredi yoluyla boşalttı. BlockSec’teki güvenlik analistleri, protokolü fonların iade edildiğine ve güvenli olduğuna inandırdığı için likidite havuzu mevduatlarına izin verilmemesi gerektiğini söylüyor.
Geçen yıl, DFX Finance , Polychain Capital ve True Ventures tarafından yönetilen 5 milyon dolarlık bir başlangıç turu toplamıştı.