वित्त (फाइनेंस)

पॉलीचैन समर्थित डीएफएक्स फाइनेंस $7.5 मिलियन में हैक किया गया

11/11/2022
बिटकॉइन एथेरियम समाचार

डीएफएक्स फाइनेंस, फिएट-पेग्ड स्टैब्लॉक्स के लिए एक विकेन्द्रीकृत एक्सचेंज प्रोटोकॉल ने बताया कि यह 2:21 बजे ईटी पर हमला किया गया था। ब्लॉकसेक के सुरक्षा शोधकर्ताओं के अनुमान के अनुसार, एक अज्ञात हमलावर ने डीएफएक्स से लगभग 7.5 मिलियन डॉलर की ठगी की।

डीएफएक्स फाइनेंस टीम ने सुरक्षा शोषण को स्वीकार किया और कहा कि उसने इस मुद्दे को रोकने के लिए अपने सभी स्मार्ट अनुबंधों को रोक दिया है। "हमें पहले लेनदेन के 20-30 मिनट के भीतर संदिग्ध गतिविधि के बारे में सूचित किया गया था और हमले की पुष्टि के बाद कुछ ही मिनटों के भीतर सभी डीएफएक्स अनुबंधों पर विराम लगा दिया।" कहा.

यह घटना एक फ्लैश-लोन-सक्षम हमला प्रतीत होती है, जिसने हैकर को DFX से दुर्भावनापूर्ण तरीके से निकासी करने दिया। चोरी की गई संपत्ति में $7.5 मिलियन में से, हमलावर केवल $4.3 मिलियन मूल्य की संपत्ति को अपने बटुए में स्थानांतरित कर सकता है - जिसमें शामिल हैं 2963 ईथर ($3.8 मिलियन) और कुछ $500,000 स्थिर सिक्कों में।

छवि

चोरी की गई संपत्ति का शेष भाग — लगभग 3.2 $ मिलियन - एक एमईवी बॉट द्वारा सामने से चलने वाले लेनदेन में निकाला गया था, जिसे सैंडविच हमला भी कहा जाता है। बॉट-निकाले गए फंड एक में बैठते हैं पता बॉट ऑपरेटर द्वारा नियंत्रित किया जाता है और यदि ऑपरेटर इच्छुक है तो इसे पुनर्प्राप्त किया जा सकता है। डीएफएक्स फाइनेंस है पहले ही पूछा उन्हें वापस करने के लिए ऑपरेटर।

हमला वेक्टर

हमलावर ने एथेरियम ब्लॉकचेन पर डीएफएक्स फाइनेंस द्वारा पेश किए गए एक असुरक्षित फ्लैश-लोन तंत्र का लाभ उठाया। फ्लैश लोन एक ऐसी सुविधा है जिसमें बिना किसी संपार्श्विक के बड़ी मात्रा में क्रिप्टोकुरेंसी उधार ली जा सकती है, केवल तभी जब उन फंडों को उसी लेनदेन में वापस कर दिया जाता है।

हमले के दौरान, हमलावर ने डीएफएक्स फाइनेंस के भीतर स्थिर स्टॉक उधार लिया और फिर उन्हें "असुरक्षित कॉलबैक फ़ंक्शन" के साथ डीएफएक्स के तरलता पूल में वापस जमा कर दिया, जिसने इसके फ्लैश-लोन चेक को दरकिनार कर दिया। फ्लैश लोन के बाद, हमलावर के पास अभी भी लिक्विडिटी पूल टोकन थे, जिसे उन्होंने बेच दिया। 

हमले ने $7.5 मिलियन से अधिक का नियंत्रण लेने के लिए कई फ्लैश ऋणों के माध्यम से DFX के तरलता पूल टोकन को समाप्त कर दिया। ब्लॉकसेक के सुरक्षा विश्लेषकों का कहना है कि तरलता-पूल जमा की अनुमति नहीं दी जानी चाहिए, क्योंकि इसने प्रोटोकॉल को धोखा दिया कि धन वापस कर दिया गया है और सुरक्षित है। 

"जब कोई उपयोगकर्ता पैसे उधार लेता है, तो प्रोटोकॉल को किसी भी फ़ंक्शन कॉल की अनुमति नहीं देनी चाहिए जो डीएफएक्स प्रोटोकॉल के संतुलन को बदल सकती है," ब्लॉकसेक के सीईओ याजिन झोउ ने द ब्लॉक को बताया।

जबकि फ्लैश लोन आर्बिट्रेज ट्रेडिंग और पूंजी दक्षता में सुधार के लिए हैं, हैकर्स ने कुछ कमजोरियों का फायदा उठाने के लिए नियमित रूप से उनका दुरुपयोग किया है।

पिछले साल, डीएफएक्स फाइनेंस उठाया पॉलीचैन कैपिटल और ट्रू वेंचर्स के नेतृत्व में $ 5 मिलियन का बीज दौर।

© 2022 ब्लॉक क्रिप्टो, इंक। सभी अधिकार सुरक्षित। यह आलेख केवल सूचना प्रयोजन के लिए प्रदान किया गया है। यह कानूनी, कर, निवेश, वित्तीय, या अन्य सलाह के रूप में इस्तेमाल करने की पेशकश या इरादा नहीं है।

स्रोत: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss