Протокол DForce потерял $3,6 млн из-за хакерской атаки

Хакер взломал протокол децентрализованных финансов (DeFi) DForce в ходе повторной атаки на хранилище Curve. Специалисты сообщили, что сервис приостановил работу контрактов, чтобы избежать большего ущерба.

Атака была вызвана уязвимостью повторного входа. Злоумышленник неоднократно вызывал функцию смарт-контракта и извлекал из нее активы. По словам экспертов, это могло произойти из-за ошибки в коде смарт-контракта или отсутствия надлежащих мер безопасности.

«10 февраля наши хранилища wstETH/ETH Curve на Arbitrum и Optimism были взломаны, и мы немедленно приостановили работу. Уязвимость выявлена, и взлом устранен», — отметила команда DForce.

По данным двух ведущих фирм по обеспечению безопасности криптовалют, BlockSec и PeckShield, убытки составляют около $3,6 млн. Директор службы безопасности BlockSec Мэтью Цзян заявил, что любой протокол, использующий функцию «get_virtual_price» для расчета ценового оракула, уязвим. По словам эксперта, проекты должны быть более осторожными и предпринимать дополнительные меры при использовании.

Специальная функция, известная как «get_virtual_price», представляет собой команду, которая дает приблизительную цену оракула и может быть вызвана любым протоколом при подключении к Curve. Он используется для расчета цены токена пула ликвидности.