پروتکل دیفای dForce مورد حمله قرار گرفت

یک هکر بیش از ۳.۶ میلیون دلار را از پروتکل مالی غیرمتمرکز دی فورس (dForce) تخلیه کرد. به نظر می رسد این یک حمله مجدد به صندوق کرو (Curve) است که روی بلاکچین های آربیتروم و آپتیمیزم کار می کند. این پروژه دیفای در یک پست توییتری حادثه اخیر را تایید کرد و افزود که قراردادهای خود را برای جلوگیری از آسیب بیشتر متوقف کرده است.

این حمله ظاهراً توسط یک آسیب‌پذیری ورود مجدد فعال شده است، که می‌تواند زمانی رخ دهد که مهاجم به طور مکرر یک تابع قرارداد هوشمند را فراخوانی کند و قبل از اینکه قرارداد وضعیت داخلی خود را به‌روزرسانی کند، دارایی‌ها را از آن استخراج کند. این ممکن است زمانی اتفاق بیفتد که اشکالی در کد قرارداد هوشمند یا فقدان اقدامات امنیتی مناسب وجود داشته باشد.

این تیم خاطرنشان کرد:

“در ۱۰ فوریه، خزانه‌های کرو wstETH/ETH ما روی آربیتروم و آپتیمیزم مورد سوء استفاده قرار گرفت و ما بلافاصله تمام خزانه‌ها را متوقف کردیم. آسیب‌پذیری شناسایی شد و این سوءاستفاده مختص خزانه wstETH/ETH-Curve دی فورس بود.”

طبق گفته دو شرکت پیشرو امنیت رمزنگاری، بلاک سِک و پک شیلد، مجموع ضررهای ناشی از این حمله حدود ۳.۶ میلیون دلار بوده است. اشکال ورود مجدد در یک تابع قرارداد هوشمند وجود داشت که توسط دی فورس برای محاسبه قیمت اوراکل در زنجیره‌های آربیتروم و آپتیمیزم هنگام اتصال به کرو فایننس استفاده می‌شد. تابع خاص، که به عنوان “get_virtual_price” شناخته می شود، دستوری است که قیمت اوراکل تخمینی را ارائه می دهد و می تواند توسط هر پروتکلی هنگام اتصال به کرو برای محاسبه قیمت توکن استخر نقدینگی استفاده می شود.

متیو جیانگ، مدیر خدمات امنیتی بلاک سک، به سایت دی بلاک گفت که هر پروتکل دیفای که از تابع “get_virtual_price” برای محاسبه اوراکل قیمت استفاده کند، از جمله دی فورس، آسیب پذیر است. او افزود که این موضوع به طور عمومی شناخته شده است و بر خود کرو تأثیری ندارد. با این حال، پروژه‌ها باید محتاط‌تر باشند و در هنگام تخمین قیمت‌های اوراکل گام‌های بیشتری بردارند، زیرا می‌توانند توسط عوامل مخرب برای انجام حملات ورود مجدد دستکاری شوند.