Le protocole de finance décentralisée (DeFi) dForce a subi une attaque de vulnérabilité de rentrée qui a entraîné la perte de 3,6 millions de dollars d'actifs cryptographiques.
L'attaquant a ciblé le coffre-fort de protocole sur la plateforme de teneur de marché automatisé (AMM) Curve Finance, qui fonctionne sur les chaînes de blocs Arbitrum et Optimism.
dForce a mobilisé 3,65 millions de dollars
Le piratage a été signalé pour la première fois par l'utilisateur de Twitter @ZoomerAnon qui a annoncé que dForce avait perdu environ 1,7 million de dollars dans une série de transactions de prêt flash sur la chaîne Optimism. L'attaque a ensuite été confirmée par la société de sécurité blockchain PeckShield, qui a arrondi les pertes totales à 2 300 jetons ETH (3,65 millions de dollars).
L'attaquant a exploité une vulnérabilité d'indentation dans une fonction de contrat intelligent que dForce utilise pour obtenir les prix Oracle sur Arbitrum et Optimism lorsqu'il est connecté à Curve.
Une attaque par rentrée se produit lorsqu'un attaquant exploite un bogue dans un contrat intelligent et retire à plusieurs reprises des fonds transférés vers un contrat non autorisé. De telles attaques sont publiquement connues pour se produire sur les protocoles connectés à Curve, tandis que l'AMM reste intact.
PeckShield a en outre expliqué que l'auteur avait manipulé le prix de l'ETH jalonné enveloppé dans le coffre Curve (jauge wstETHCRV) et avait pu liquider plusieurs positions de prêt flash en utilisant la jauge wstETHCRV comme garantie.
Le montant initial, 0,99ETH, a été retiré du système RAILGUN Project DeFi et transféré via Synapse Network à Arbitrum and Optimism. Au moment de mettre sous presse, les fonds étaient toujours sur le compte du proxénète.
dForce offre des primes à l'attaquant
dForce a confirmé que l'attaque, qui n'était distincte que de son coffre-fort wstETH/ETH-Curve, avait été contenue et que tous les coffres-forts avaient été mis en pause. Le protocole a assuré aux utilisateurs que les fonds fournis à d'autres coffres, y compris les prêts, étaient en sécurité.
La plate-forme a également révélé que l'exploiteur avait créé 2,3 millions de dollars de dette de protocole après avoir liquidé 1 031,42 et wstETH/ETH sur Arbitrum et Optimum, respectivement.
"Nous nous sommes engagés avec la société de sécurité @SlowMist_team et nos partenaires de l'écosystème pour enquêter plus avant sur cette affaire et aimerions offrir une prime à l'exploiteur si les fonds sont restitués. Restez à l'écoute pour plus de mises à jour », a déclaré dForce.
Le message Le protocole DeFi dForce perd 3,6 millions de dollars dans l'attaque de réentrance est apparu pour la première fois sur CryptoPotato .