Хакеры откачивают миллионы в криптовалюте от обмена dForce

Известная уязвимость ERC777 позволила хакерам украсть 25 миллионов в криптовалюте

Хакеры откачивают миллионы в криптовалюте от обмена dForce

Китайский протокол децентрализованного финансирования (DeFi). DForce стал жертвой хорошо известного использования токена Ethereum, который привел к краже криптовалюты ее клиентов на 25 миллионов.

Как сообщает Расшифровать, DForce недавно получила 1,5 млн в начальном раунде финансирования во главе с криптовалютным фондом Multicoin Capital. Однако эти средства были изъяты из договоров кредитного протокола, который является частью dForce под названием Lendf.Me.

Lendf.Me сейчас не в сети, и все его умные контракты были приостановлены. Тем не менее, хакеры вернули 126,014 украденных средств обратно на кредитную платформу с пометкой «Лучше удачи в следующий раз».

Уязвимость токена ERC777

Подобная атака была недавно предпринята против децентрализованной биржи Uniswap, чтобы украсть более 300 000 человек. Интеллектуальные контракты биржи, содержащие основанную на Ethereum токенизированную версию Bitcoin под управлением TokenIon под названием imBTC, были истощены. Связь между двумя атаками связана с тем, что Lendf.ME интегрировал imBTC в начале этого года.

Атака Uniswap усилила известную уязвимость в стандарте токенов ERC77. В результате установки умных контрактов Uniswap хакер может постоянно выводить средства ERC77 из Uniswap до обновления баланса, что может позволить им истощать контракты imBTC.

Хотя взлом dForce полностью отделен от взлома Uniswap, считается, что в обеих атаках использовался один и тот же эксплойт. Уязвимость не нова, и фирма ConsenSys провела обширный аудит Uniswap 16 месяцев назад, сделав вывод, что это была «серьезная» проблема.

Что еще хуже, генеральный директор Compound Роберт Лешнер утверждает, что Lendf.Me присвоил свой открытый исходный код. В твиттере Лешнер выкрикнул информацию о безопасности Lendf.Me, сказав: «Если у проекта нет опыта в разработке собственных умных контрактов, а вместо этого ворует и переустанавливает чужой код, защищенный авторским правом, это признак того, что у него нет способность или намерение рассмотреть безопасность ".

На данный момент dForce не обсуждает взлом в своих социальных сетях, и похоже, что остальные украденные средства не будут возвращены в ближайшее время.