Хакер украл более $3,6 млн. у DeFi-протокола DForce в ходе атаки повторного входа на хранилище Curve, которое он использовал в блокчейнах Arbitrum и Optimism.
DeFi-проект подтвердил инцидент, добавив, что он приостановил работу своих контрактов, чтобы предотвратить дальнейший ущерб.
«10 февраля наши хранилища wstETH/ETH на площадке Curve в сетях Arbitrum и Optimism были взломаны и мы немедленно приостановили их работу. Уязвимость выявлена и эксплойт был специфичен для хранилища wstETH/ETH-Curve », — отметила команда.
По данным фирм BlockSec и PeckShield, общие убытки от атаки составили около $3,6 млн. Ошибка повторного входа присутствовала в функции смарт-контракта, используемой dForce для расчета цен оракула в сетях Arbitrum и Optimism при подключении к Curve Finance. Специальная функция «get_virtual_price» представляет собой команду, которая дает приблизительную цену оракула и может быть вызвана любым протоколом при подключении к Curve.
Директор службы безопасности BlockSec Мэтью Цзян отметил, что любой использующий функцию «get_virtual_price» для расчета ценового оракула протокол уязвим, включая dForce. Проблема общеизвестна и не влияет на саму Curve. Тем не менее, проекты должны быть более осторожными и предпринимать дополнительные шаги при оценке цен оракулов, поскольку хакеры могут манипулировать ими для проведения аналогичных атак.
Источник
Уникальность
