Het gedecentraliseerde exchange-protocol voor fiat-gekoppelde stablecoins, DFX Finance, heeft gemeld dat het was aangevallen door hackers. Volgens een schatting van BlockSec, een beveiligingsonderzoeksbedrijf, heeft een onbekende aanvaller ongeveer $7,5 miljoen van DFX overgeheveld.
Het team achter DFX Finance erkende de beveilingsexploit en gaf aan dat het al zijn smart contracts heeft onderbroken om het probleem te kunnen beheersen. Het volgende werd gezegd:
“We werden binnen 20-30 minuten na de eerste transactie op de hoogte gebracht van de verdachte activiteit en voerden een pauze uit op alle DFX-contracten binnen een paar minuten na bevestiging van de aanval.”
Het lijkt een aanval te zijn met flash-lening waarmee de hacker een kwaadwillende opname van DFX akn doen. In totaal kon de hacker echter maar $4,3 miljoen van de $7,5 miljoen aan activa overboeken naar zijn wallet, inclusief 2963 ETH en ongeveer $500.000 aan stablecoins.
De resterende $3,2 miljoen werd gewonnen door een MEV-bot in een front-running transactie, ook wel een sandwich-aanval genoemd. Het geld dat door de bot werd gewonnen bevindt zich momenteel op een adres dat wordt beheerd door de bot-operator en kan worden teruggevorderd zodra de operator dat wilt. Inmiddels heeft DFX Finance de operator al gevraagd om de activa terug te sturen.
De aanvaller maakte gebruik van een onveilig flash-leningmechanisme aangeboden door DFX Finance op de Ethereum-blockchain. Flash-lening is een functie waarbij grote hoeveelheden crypto kan worden geleend zonder onderpand, alleen als dat geld in dezelfde transactie wordt teruggegeven.
De aanvaller leende stablecoins binnen DFX Finance en deponeerde deze vervolgens terug in de liquiditeitspool van DFX met een onveilige callback-functie die de flash-leningcontroles omzeilde. De aanvaller had nog liquiditetispool-tokens in bezit na de flash-lening. De tokens van DFX zijn via meerdere flash-leningen leeggemaakt om de controle over meer dan $7,5 miljoen over te nemen. Volgens analisten van BlockSec hadden de deposito’s van liquiditeitspools niet mogen worden toegestaan, omdat het protocol liet geloven dat het geld was teruggestort en veilig was. CEO van BlockSec, Yajin Zhou, zei het volgende:
“Als een gebruiker geld leent, mag het protocol geen functie-aanroepen toestaan die de balans van het DFX-protocol kunnen veranderen.”
Flash-lening zijn bedoel voor arbitragehandel en het verbeteren van de kapitaalefficiëntie, maar aan de andere kant hebben hackers regelmatig misbruik gemaakt om bepaalde kwetsbaarheden uit te buiten. Vorig jaar haalde DFX Finance een seed-ronde van $5 miljoen op onder leiding van Polychain Capital en True Ventures.