یک هکر بیش از 3.6 میلیون دلار را از پروتکل مالی غیرمتمرکز دی فورس (dForce) تخلیه کرد. به نظر می رسد این یک حمله مجدد به صندوق کرو (Curve) است که روی بلاکچین های آربیتروم و آپتیمیزم کار می کند. این پروژه دیفای در یک پست توییتری حادثه اخیر را تایید کرد و افزود که قراردادهای خود را برای جلوگیری از آسیب بیشتر متوقف کرده است.
این حمله ظاهراً توسط یک آسیبپذیری ورود مجدد فعال شده است، که میتواند زمانی رخ دهد که مهاجم به طور مکرر یک تابع قرارداد هوشمند را فراخوانی کند و قبل از اینکه قرارداد وضعیت داخلی خود را بهروزرسانی کند، داراییها را از آن استخراج کند. این ممکن است زمانی اتفاق بیفتد که اشکالی در کد قرارداد هوشمند یا فقدان اقدامات امنیتی مناسب وجود داشته باشد.
این تیم خاطرنشان کرد:
“در 10 فوریه، خزانههای کرو wstETH/ETH ما روی آربیتروم و آپتیمیزم مورد سوء استفاده قرار گرفت و ما بلافاصله تمام خزانهها را متوقف کردیم. آسیبپذیری شناسایی شد و این سوءاستفاده مختص خزانه wstETH/ETH-Curve دی فورس بود.”
طبق گفته دو شرکت پیشرو امنیت رمزنگاری، بلاک سِک و پک شیلد، مجموع ضررهای ناشی از این حمله حدود 3.6 میلیون دلار بوده است. اشکال ورود مجدد در یک تابع قرارداد هوشمند وجود داشت که توسط دی فورس برای محاسبه قیمت اوراکل در زنجیرههای آربیتروم و آپتیمیزم هنگام اتصال به کرو فایننس استفاده میشد. تابع خاص، که به عنوان “get_virtual_price” شناخته می شود، دستوری است که قیمت اوراکل تخمینی را ارائه می دهد و می تواند توسط هر پروتکلی هنگام اتصال به کرو برای محاسبه قیمت توکن استخر نقدینگی استفاده می شود.
متیو جیانگ، مدیر خدمات امنیتی بلاک سک، به سایت دی بلاک گفت که هر پروتکل دیفای که از تابع “get_virtual_price” برای محاسبه اوراکل قیمت استفاده کند، از جمله دی فورس، آسیب پذیر است. او افزود که این موضوع به طور عمومی شناخته شده است و بر خود کرو تأثیری ندارد. با این حال، پروژهها باید محتاطتر باشند و در هنگام تخمین قیمتهای اوراکل گامهای بیشتری بردارند، زیرا میتوانند توسط عوامل مخرب برای انجام حملات ورود مجدد دستکاری شوند.
