В результаті хакерської атаки на протокол децентралізованих фінансів (DeFi) dForce, зловмисникам вдалося вивести всі активи в еквіваленті $25 млн.
За даними DeFi Pulse, загальна вартість активів, заблокованих в екосистемі dForce, за останні 24 години знизилася з $24.9 млн до $6. Сайт кредитної платформи Lendf.Me в екосистемі dForce на момент публікації недоступний.
Генеральний директор Миньдао Ян (Mindao Yang) заявив, що команда все ще займається дослідженням проблеми, і порадив користувачам не переводити ніяких активів на Lendf.Me. Представник проекту підтвердив китайським ЗМІ, що атака на Lendf.Me була проведена на блоці ЭЙФириума 9899681.
«Lendf.me підтвердив інформацію про атаку, яку зловмисники здійснили о 08:45 за пекінським часом у неділю на блоці 9899681», – пише
китайське видання Chain News.
Хоча подробиці атаки поки невідомі, деякі спостерігачі припускають, що зловмисники використовували вразливість imBTC – токена ERC777, прив’язаного до биткоину, який дозволяє багаторазово звертатися до смарт-контрактом для виведення перебувають у ньому коштів до того, як зовнішній баланс буде оновлено. Це дуже сильно спростило завдання зловмисникам. Токен imBTC платформа Lendf.me інтегрувала в січні цього року.
Розробники Tokenlon DEX повідомляють, що ще одна аналогічна атака була здійснена вчора, 18 квітня, коли зловмисники атакували і спустошили пул ліквідності для imBTC на децентралізованої біржі Uniswap. Збиток склав $300 000 BTC і ETH. При цьому вразливість була виявлена ConsenSys ще в 2018 році після аудиту безпеки системи смарт-контрактів Uniswap. Дуже схожий метод застосовувався і під час нашумілої атаки на The DAO в 2016 році, тоді хакери привласнили близько $60 млн в ефірі.
Генеральний директор популярного проекту DeFi Compound Роберт Лешнер (Robert Leshner) заявив, що dForce використовували «кодову базу їх смарт-контракту без всяких зміни».
«dForce скопіювали і перезапустили у себе наші смарт-контракти, які захищені авторським правом. Тим самим вони показали, що нездатні створити власний продукт і їм наплювати на безпеку», – написав Лешнер.
Згідно з даними DeFi Pulse до атаки, запущений у вересні минулого року Lendf.Me зміг вирости в один з найбільших проектів у сфері децентралізованого фінансування (DeFi).
15 квітня dForce оголосила про завершення раунду фінансування на $1.5 млн від Multicoin Capital, Huobi Capital і China Merchants Bank International (CMBI), інвестиційного підрозділу одного з найбільших банків Китаю. Ці гроші повинні були піти на розширення штату та запуск нових продуктів.
Thanks!
Our editors are notified.