В результате атаки на приложение DeFi dForce похищено $25 млн

[evident]

В результате хакерской атаки на протокол децентрализованных финансов (DeFi) dForce, злоумышленникам удалось вывести все активы в эквиваленте $25 млн.
По данным DeFi Pulse, общая стоимость активов, заблокированных в экосистеме dForce, за последние 24 часа снизилась с $24.9 млн до $6. Сайт кредитной платформы Lendf.Me в экосистеме dForce на момент публикации недоступен.
Генеральный директор Миньдао Ян (Mindao Yang) заявил, что команда все еще занимается исследованием проблемы, и посоветовал пользователям не переводить никаких активов на Lendf.Me. Представитель проекта подтвердил китайским СМИ, что атака на Lendf.Me была произведена на блоке ЭЙФириума 9899681.
«Lendf.me подтвердил информацию об атаке, которую злоумышленники осуществили в 08:45 по пекинскому времени в воскресенье на блоке 9899681», – пишет
китайское издание Chain News.
Хотя подробности атаки пока неизвестны, некоторые наблюдатели предполагают, что злоумышленники использовали уязвимость imBTC — токена ERC777, привязанного к биткоину, который позволяет многократно обращаться к смарт-контракту для вывода находящихся в нем средств до того, как внешний баланс будет обновлен. Это очень сильно упростило задачу злоумышленникам. Токен imBTC платформа Lendf.me интегрировала в январе этого года.
Разработчики Tokenlon DEX сообщают, что еще одна аналогичная атака была совершена вчера, 18 апреля, когда злоумышленники атаковали и опустошили пул ликвидности для imBTC на децентрализованной бирже Uniswap. Ущерб составил $300 000 в BTC и ETH. При этом уязвимость была выявлена ConsenSys еще в 2018 году после аудита безопасности системы смарт-контрактов Uniswap. Очень похожий метод применялся и во время нашумевшей атаки на The DAO в 2016 году, тогда хакеры присвоили около $60 млн в эфире.
Генеральный директор популярного проекта DeFi Compound Роберт Лешнер (Robert Leshner) заявил, что dForce использовали «кодовую базу их смарт-контракта без всяких изменения».
«dForce скопировали и перезапустили у себя наши смарт-контракты, которые защищены авторским правом. Тем самым они показали, что неспособны создать собственный продукт и им наплевать на безопасность», — написал Лешнер.
Согласно данным DeFi Pulse до атаки, запущенный в сентябре прошлого года Lendf.Me смог вырасти в один из крупнейших проектов в сфере децентрализованного финансирования (DeFi).
15 апреля dForce объявила о завершении раунда финансирования на $1.5 млн от Multicoin Capital, Huobi Capital и China Merchants Bank International (CMBI), инвестиционного подразделения одного из крупнейших банков Китая. Эти деньги должны были пойти на расширение штата и запуск новых продуктов.