El protocolo de finanzas descentralizadas (DeFi) dForce sufrió un ataque de vulnerabilidad de reentrada que resultó en la pérdida de activos criptográficos por valor de USD 3,6 millones.
El atacante apuntó a la bóveda de protocolo en la plataforma de creación de mercado automatizado (AMM) Curve Finance, que opera en las cadenas de bloques Arbitrum y Optimism.
dForce apalancado por $ 3.65 millones
El hackeo fue reportado por primera vez por el usuario de Twitter @ZoomerAnon , quien anunció que dForce había perdido alrededor de $1.7 millones en una serie de transacciones de préstamos rápidos en la cadena Optimism. El ataque fue confirmado más tarde por la empresa de seguridad blockchain PeckShield, que redondeó las pérdidas totales a 2300 tokens ETH (3,65 millones de dólares).
El atacante explotó una vulnerabilidad de sangría en una función de contrato inteligente que dForce usa para obtener precios de Oracle en Arbitrum y Optimism cuando se conecta a Curve.
Un ataque de reingreso ocurre cuando un atacante aprovecha un error en un contrato inteligente y retira repetidamente los fondos transferidos a un contrato no autorizado. Se sabe públicamente que tales ataques ocurren en los protocolos conectados a Curve, mientras que el AMM permanece intacto.
PeckShield explicó además que el perpetrador manipuló el precio de ETH apostado envuelto en la bóveda de Curve (indicador wstETHCRV) y pudo liquidar varias posiciones de préstamo flash utilizando el indicador wstETHCRV como garantía.
La cantidad inicial, 0.99ETH, se retiró del sistema RAILGUN Project DeFi y se transfirió a través de Synapse Network a Arbitrum and Optimism. En el momento de la publicación, los fondos aún estaban en la cuenta del proxeneta.
dForce ofrece recompensas al atacante
dForce confirmó que el ataque, que era distinto solo de su bóveda wstETH/ETH-Curve, había sido contenido y todas las bóvedas se habían detenido. El protocolo aseguró a los usuarios que los fondos proporcionados a otras bóvedas, incluidos los préstamos, estaban seguros.
La plataforma también reveló que el explotador creó $2,3 millones de deuda de protocolo después de liquidar 1.031,42 y wstETH/ETH en Arbitrum y Optimum, respectivamente.
“Nos hemos comprometido con la empresa de seguridad @SlowMist_team y nuestros socios del ecosistema para investigar más a fondo este asunto y nos gustaría ofrecer una recompensa al explotador si se devuelven los fondos. Estén atentos para más actualizaciones”, dijo dForce.
La publicación El protocolo DeFi dForce pierde $ 3.6 millones en un ataque de reentrada apareció por primera vez en CryptoPotato .