去中心化金融 (DeFi) 协议 dForce 遭受重入漏洞攻击,导致价值 360 万美元的加密资产损失。
攻击者瞄准了自动做市商 (AMM) 平台 Curve Finance 上协议的保险库,该平台在 Arbitrum 和 Optimism 区块链上运行。
dForce 以 365 万美元的价格被剥削
该黑客攻击首先由 Twitter 用户标记 @ZoomerAnon 谁宣布 dForce 在 Optimism 链上的一系列闪贷交易中损失了约 170 万美元。 袭击发生在后来 确认的 区块链安全公司 PeckShield 将损失总额四舍五入为 2,300 ETH 代币(365 万美元)。
黑客利用了 dForce 连接到 Curve 时用于获取 Arbitrum 和 Optimism 上的预言机价格的智能合约功能中存在的重入漏洞。
当不良行为者利用智能合约中的漏洞并反复提取转移到未经授权合约的资金时,就会发生重入攻击。 众所周知,此类攻击发生在与 Curve 相关的协议上,而 AMM 仍未受到影响。
PeckShield 进一步解释说,犯罪者操纵了 Curve 保险库(wstETHCRV-gauge)中已打包质押的 ETH 的价格,并能够使用 wstETHCRV-gauge 作为抵押品清算几个快速贷款头寸。
初始金额 0.99ETH 从 DeFi 系统 RAILGUN 项目中提取,并通过 Synapse Network 转移到 Arbitrum 和 Optimism。 截至发稿时,资金仍在剥削者的账户中。
dForce 向攻击者提供赏金
dForce 确认该攻击仅与其 wstETH / ETH-Curve 金库不同,已被遏制,所有金库都已暂停。 该协议向用户保证提供给其他金库的资金(包括借贷)是安全的。
该平台还 披露 在 Arbitrum 和 Optimum 上分别清算 1,031.42 和 wstETH/ETH 后,利用者产生了 230 万美元的协议债务。
“我们已经与安全公司@SlowMist_team 和我们的生态系统合作伙伴进行了接触,以进一步调查此事,并希望在资金被退回的情况下向开发者提供赏金。 请继续关注进一步的更新,”dForce 说。