Ориентированная на стейблкоины децентрализованная биржа DFX Finance на базе Ethereum потеряла в результате атаки цифровые активы стоимостью примерно $7,5 млн.
It seems @DFXFinance's DEX pool (named Curve) is hacked (w/ loss of 3000 ETH or $~4M) due to the lack of proper reentrancy protection. Here comes an example tx: https://t.co/tB6Q0SIBSA. The stolen funds are being deposited into @TornadoCash pic.twitter.com/6ft7HYpwpq
— PeckShield Inc. (@peckshield) November 10, 2022Эксперты PeckShield отметили, что взлом стал возможен из-за "отсутствия надлежащей защиты от повторного входа".
Команда DeFi-протокола подтвердила инцидент:
"Нас уведомили о подозрительной активности через 20-30 минут после первой транзакции, и мы приостановили все смарт-контракты DFX в течение нескольких минут после подтверждения атаки", — заявили разработчики.
1) Today we were notified about suspicious activity happening in the #DFX contracts. The attack started at Nov-10-2022 07:21:59 PM +UTC originating from wallet 0x14c19962e4a899f29b3dd9ff52ebfb5e4cb9a067.
— DFX Finance (@DFXFinance) November 11, 2022По данным специалистов BlockSec, злоумышленник воспользовался флэш-кредитами для опустошения пулов ликвидности, сообщает The Block. Он конвертировал украденные токены в ETH и вывел криптовалюту стоимостью около $4,3 млн.
Такую же оценку дали в PeckShield, обратив внимание, что хакер отправляет средства в миксер Tornado Cash.
Оставшиеся токены на сумму $3,2 млн перехватил MEV-бот в ходе так называемой "сэндвич-атаки" — опережающей транзакции.
Команда протокола призвала оператора бота связаться через каналы в соцсетях для обсуждения возврата активов.
6) We urge the #MEV bot owner to get in contact with us here on Twitter or at our Telegram and Discord.
Polygon pools were not affected as we were able to pause the contracts before the attacker made his way to the polygon side.
На фоне инцидента цена токена DFX Finance (DFX) обвалилась в моменте почти вдвое с уровней около $0,3. После коррекции монета торгуется вблизи $0,18, согласно DEX Screener. Это более чем на 99% ниже максимума, зафиксированного в мае 2021 года (CoinGecko). Рыночная капитализация DFX составляет около $4,18 млн.
Объем заблокированных в смарт-контрактах протокола активов обвалился с $18,6 млн до $3,6 млн, по данным DeFi Llama.
Напомним, на конец октября потери Web3-индустрии в результате эксплойтов с начала года приблизились к $3 млрд, подсчитали в PeckShield.