Puntos clave:
Las cadenas Arbitrum y Optimism fueron el objetivo de un ataque de reentrada que le costó al protocolo DForce DeFi 3,6 millones de dólares.
Cuando se conectó a Curve Finance, una función de contrato inteligente utilizada para determinar el precio de Oracle tenía una debilidad que condujo al ataque.
Un aparente ataque de reentrada en una bóveda de Curve que el protocolo de finanzas descentralizadas (DeFi) dForce ejecutaba en las cadenas de bloques Arbitrum y Optimism resultó en el robo de más de 3,6 millones de dólares.
En un tweet reciente, la iniciativa DeFi reconoció la situación y agregó que había suspendido sus contratos para limitar daños adicionales.
El 10 de febrero, nuestras bóvedas de wstETH/ETH Curve en Arbitrum & Optimism fueron explotadas e inmediatamente pausamos todas las bóvedas. Se identificó la vulnerabilidad y el exploit fue específico de la bóveda wstETH/ETH-Curve de dForce. Los fondos de los usuarios suministrados a dForce Lending y otras bóvedas son SEGUROS.
– dForce (@dForcenet) 10 de febrero de 2023
Una vulnerabilidad de reentrada, que puede ocurrir cuando un atacante llama repetidamente a una función de contrato inteligente y extrae activos de ella antes de que el contrato actualice su estado interno, parece haber hecho posible el ataque. Esto puede ocurrir si el código del contrato inteligente contiene un defecto o si no se toman las medidas de seguridad adecuadas.
Siguiendo el hilo, dForce declaró que el precio de wstETH/ETH fue manipulado por el explotador utilizando una falla de reentrada en el pool de Curve, lo que resultó en la liquidación de 1.031,42 ETH y 30,31 ETH equivalentes de tokens LP de wstETH/ETH Curve en Arbitrum y Optimum, respectivamente. . También produjo 2,3 millones de dólares en deuda de protocolo.
El hack causó alrededor de 3,6 millones de dólares en daños totales, según BlockSec y PeckShield, dos importantes empresas de criptoseguridad.
La pérdida estimada del hackeo de @dForcenet de hoy es ~$3,65 millones (con 1.236,65 ETH + 719.437 USX en @arbitrum y 1.037.492 USDC en @optimismFND). Nuestro análisis inicial muestra que la causa fundamental es un problema de precios de Oracle. ¡Más detalles por venir! https://t.co/PEzoX1emdp pic.twitter.com/tI9BPcfvWH
– PeckShield Inc. (@peckshield) 10 de febrero de 2023
Cuando se conectó con Curve Finance, dForce empleó una función de contrato inteligente que tenía el error de reentrada para determinar los precios de Oracle en las cadenas Arbitrum y Optimism.
Cuando se vincula a Curve, cualquier protocolo puede llamar a la función particular, conocida como "get_virtual_price", que proporciona un precio de Oracle aproximado. Se utiliza para calcular cuánto costará el token del fondo de liquidez.
Según The Block, Matthew Jiang, director de servicios de seguridad de BlockSec, dijo que cualquier protocolo que utilice la función "get_virtual_price" para calcular el oráculo del precio es vulnerable, incluido dForce.
Los proyectos deben ser más cautelosos y tomar medidas adicionales al estimar los precios de Oracle, ya que pueden ser manipulados por actores maliciosos para llevar a cabo ataques de reentrada.
DESCARGO DE RESPONSABILIDAD: La información de este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Le recomendamos que investigue antes de invertir.
Únase a nosotros para estar al tanto de las novedades: https://linktr.ee/coincu
Thana
Noticias Coincu