Home > General > Memahami Serangan DeFi dForce

Memahami Serangan DeFi dForce

///
Comments are Off
Blockonomi

Dampak dari serangan 19 April terhadap protokol keuangan desentralisasi Tiongkok dForce tetap menjadi cerita yang berkembang dalam kriptoekonomi, jadi ini semua yang perlu Anda ketahui untuk mempercepat Anda di episode yang disayangkan dan terkenal ini.

Pertama, beberapa konteks utama. Pada bulan September 2019, tim di belakang protokol dForce meluncurkan Lendf.Me, sebuah aplikasi pinjaman DeFi yang memungkinkan pengguna mendapatkan minat pada token crypto tertentu. Sejak saat itu dan sebelum serangan, dApp ini menjadi proyek DeFi paling populer di dunia crypto Cina.

Pada Januari 2020, Senyawa proyek pinjaman – salah satu DeFi Perusahaan baru terbesar dan paling sukses di sektor ini – dituduh dForce menjiplak foundation kode-nya. Tuduhan ini didukung oleh bukti forensik, yaitu sisa-sisa kode Compound di foundation kode GitHub dForce.

Tidak Ada Penjagaan Kembali Entrancy

Sisa-sisa kode ini penting untuk serangan dForce 18 April karena itu menunjukkan bahwa dForce mewarisi aspek-aspek kunci tertentu dari protokol Compound v1. Salah satu aspek ini adalah kurangnya apa yang dikenal sebagai "penjaga re-entrancy."

Tidak memiliki penjaga ini di tempat bukanlah kerentanan Compound v1, tetapi dinamika ini membuat protokol lebih konservatif sehubungan dengan token yang bisa didukungnya. Yaitu, Compound v1 tidak mendukung token ERC-777, yang menikmati lebih banyak fleksibilitas daripada Ethereum standar ERC-20 token tetapi juga permukaan serangan yang lebih luas.

Secara khusus, pertukaran desentralisasi yang belum mengambil tindakan pencegahan yang tepat dapat melihat token ERC-777 digunakan sebagai batu loncatan untuk apa yang disebut "serangan re-entrancy" – contoh yang terkenal di antaranya adalah peretasan tahun 2016 DAO.

Vektor serangan DEX potensial ini telah ditetapkan dan diperingatkan oleh auditor cryptoeconomy sejak 2018. Karena itu, Compound v1 tidak mendukung token ERC-777 untuk memitigasi serangan re-entrancy.

Dengan demikian, dua kesalahan dForce adalah kesalahan 1) mewarisi kode yang tidak sepenuhnya dipahami, dan 2) setelah itu mendukung token ERC-777 di Lendf. Karena ketidaktahuan akan implikasi melakukannya.

Di dalam Serangan

Pada hari Minggu, 19 April, seorang penyerang atau penyerang menggunakan imBTC – sebuah versi bitcoin (BTC) ERC-777 – untuk meluncurkan gelombang serangan re-entrancy terhadap Lendf.Me. Dalam waktu singkat, agen jahat itu mampu mendapatkan sedikit uang sejumlah eter (ETH) senilai $ 25 juta, tokenized bitcoin, dan token lainnya.

Dalam beberapa jam, pembangun Lendf.Me mengkonfirmasi serangan itu dan menyarankan penggunanya untuk berhenti menyetor dana ke dApp.

Setelah serangan itu, beberapa pengguna mulai mengirim permohonan dana mereka ke alamat Ethereum publik penyerang menggunakan kecil ETH transaksi. Dengan menggunakan metode komunikasi ini, tim dForce menjangkau penyerang untuk mencoba negosiasi mengenai dana curian.

Kemudian pada hari Minggu malam, pendiri dForce Mindao Yang dikonfirmasi di a posting weblog bahwa "peretas telah berusaha menghubungi kami dan kami bermaksud untuk berdiskusi dengan mereka." Yang juga mengkonfirmasi bahwa timnya telah melakukan kontak dengan penegak hukum "di beberapa yurisdiksi" dan telah "menjangkau penerbit dan pertukaran aset untuk melacak dan membuat daftar hitam alamat-alamat peretas."

Zooming out, DEX Uniswap yang populer melihat kumpulan imBTC-nya terkuras hingga $ 300.000 pada tanggal 18 April melalui serangan re-entrancy. Apakah penyerang ini adalah penyerang dForce, juga, masih harus dilihat.

Dana Dikembalikan

Karena beberapa pertukaran crypto bertindak cepat untuk daftar hitam alamat peretas dForce, penyerang dengan cepat menemukan banyak token yang dicuri akhirnya tidak berharga dengan off-landai yang layak.

Kenyataan ini menyebabkan penyerang mengirim kembali beberapa token ke tim dForce, mis. 381.000 Huobi USD (HUSD) dan 320 Huobi BTC (HBTC). Token yang dikembalikan ini kira-kira sepersepuluh dari semua dana yang dicuri dari dForce, tetapi pengembaliannya lebih baik daripada tidak sama sekali untuk dForce.

Sampai hari ini, peretas kini telah mengembalikan semua dana yang dicuri setelah pesan dari orang-orang yang terkena peretasan dan peretas itu mungkin merusak dirinya sendiri dengan menggunakan Tukar pertukaran dan tidak menggunakan Tor untuk mengakses situs net antarmuka.

991

You may also like
Kava CEO Brian Kerr

DeFi Akan Menghindari Dominasi Ethereum Di 2021 (Wawancara Eksklusif)

Protokol Pinjaman DeFi Aave Meneruskan Tata Kelola ke Komunitas
Protokol Pinjaman DeFi Aave Meneruskan Tata Kelola ke Komunitas

Risiko dan Tantangan: Peningkatan Mendadak DeFi di Pasar Crypto – Site CoinCheckup

Pegang ETH atau Beli NFT? Memahami Kerugian NFT yang Tidak Kekal

Pegang ETH atau Beli NFT?

Memahami Kerugian NFT yang Tidak Kekal