Хакер выкачал более 3,6 миллиона долларов из протокола децентрализованных финансов (DeFi) dForce в результате повторной атаки на Curve vault, которую он осуществлял на блокчейнах Arbitrum и Optimism.
Проект DeFi подтвердил инцидент в сообщении в Twitter, добавив, что приостановил свои контракты, чтобы предотвратить дальнейший ущерб.
Атака, по-видимому, была вызвана уязвимостью повторного входа, которая может возникнуть, когда злоумышленник повторно вызывает функцию смарт-контракта и извлекает из нее активы до того, как контракт обновит свое внутреннее состояние. Это может произойти, когда в коде смарт-контракта есть ошибка или отсутствуют надлежащие меры безопасности.
"10 февраля были использованы наши хранилища кривых wstETH / ETH в Arbitrumи Optimism, и мы немедленно приостановили все хранилища. Уязвимость идентифицирована, и эксплойт был специфичен для хранилища wstETH / ETH-Curve от dForce ", - отметили в команде.
По данным двух ведущих фирм по обеспечению безопасности криптовалют, BlockSec и PeckShield, общие потери от атаки составили около 3,6 миллиона долларов. Ошибка повторного входа присутствовала в функции смарт-контракта, используемой dForce для расчета цен oracle в цепочках Arbitrumum и Optimism при подключении к Curve Finance. Конкретная функция, известная как "get_virtual_price", представляет собой команду, которая дает приблизительную цену Oracle и может быть вызвана любым протоколом при подключении к Curve. Он используется для расчета цены токена пула ликвидности.
Мэтью Цзян, директор служб безопасности BlockSec, сказал The Block, что любой протокол, использующий функцию "get_virtual_price" для расчета цены oracle, уязвим, включая dForce. Он добавил, что проблема общеизвестна и не влияет на саму Curve. Тем не менее, проектам необходимо быть более осторожными и предпринимать дополнительные шаги при оценке цен Oracle, поскольку злоумышленники могут манипулировать ими для проведения повторных атак.
" 
