20 апреля 2020 Bloomchain
Китайская DeFi-платформа dForce Foundation потеряла более 99% своих активов в ходе хакерской атаки. Информация об этом появилась в блоге проекта.
Что известно об инциденте?
По данным учредителя dForce Миндао Янга, 19 апреля злоумышленники совершили атаку на одно из подразделений стартапа – протокол займов Lendf. По словам специалиста, мошенникам удалось похитить порядка $25 млн, хранившихся в смарт-контракте.
Напомним, еще недавно dForce находился на 7 месте по капитализации среди крупнейших DeFi-проектов. На фоне атаки стартап покинул список лидеров.
Объем заблокированных для dForce средств. Данные: DeFi Pulse
«Мы узнали о нападении в 09:15 утра (UTC+8) через нашу внутреннюю систему мониторинга. Сразу же после этого мы временно приостановили работу Lendf.Me и USDx (синтетический фиатный стейблкоин компании) и закрыли веб-сайт, чтобы расследовать атаку и оценить ситуацию. Ситуация развивается, и мы узнаем больше с каждой минутой. Кажется, что злоумышленники завершил свою атаку», — так специалисты описали текущую ситуацию.
По данным представителей стартапа, мошенники использовали уязвимость стандарта ERC777 imBTC (Ethereum–токен, 1:1 отражающий ценность bitcoin). Примечательно, что подобная техническая проблема системы безопасности была обнаружена в 2018 году — во время исследования смарт-контрактов Uniswap.
«Механизм обратного вызова ERC777 (imBTC) позволил хакеру многократно выдавать и выводить imBTC до обновления баланса», — говорится в блоге.
Операция злоумышленников
Известно, что хакеры связались с dForce Foundation. По словам специалистов, злоумышленники намерены обсудить сложившуюся ситуацию. Представители компании готовы вступить в переговоры.
«Мы делаем все возможное, чтобы сдержать ситуацию. Мы связались с правоохранительными органами в нескольких юрисдикциях, обратились к эмитентам активов и биржам, чтобы отследить и занести в черный список адреса хакеров. Также мы привлекли к работе наших юристов», — так описали свои действия специалисты dForce.
При этом Миндао Янг признал свою вину в случившимся.
«Эта атака стала следствием моей ошибки. Хотя я не совершал атаку, я должен был предвидеть ее и принять соответствующие меры», — написал специалист в блоге.
Напомним, несколько дней назад команда dForce привлекла $1,5 млн от Huobi и других инвесторов.
https://bloomchain.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
Что известно об инциденте?
По данным учредителя dForce Миндао Янга, 19 апреля злоумышленники совершили атаку на одно из подразделений стартапа – протокол займов Lendf. По словам специалиста, мошенникам удалось похитить порядка $25 млн, хранившихся в смарт-контракте.
Напомним, еще недавно dForce находился на 7 месте по капитализации среди крупнейших DeFi-проектов. На фоне атаки стартап покинул список лидеров.
Объем заблокированных для dForce средств. Данные: DeFi Pulse
«Мы узнали о нападении в 09:15 утра (UTC+8) через нашу внутреннюю систему мониторинга. Сразу же после этого мы временно приостановили работу Lendf.Me и USDx (синтетический фиатный стейблкоин компании) и закрыли веб-сайт, чтобы расследовать атаку и оценить ситуацию. Ситуация развивается, и мы узнаем больше с каждой минутой. Кажется, что злоумышленники завершил свою атаку», — так специалисты описали текущую ситуацию.
По данным представителей стартапа, мошенники использовали уязвимость стандарта ERC777 imBTC (Ethereum–токен, 1:1 отражающий ценность bitcoin). Примечательно, что подобная техническая проблема системы безопасности была обнаружена в 2018 году — во время исследования смарт-контрактов Uniswap.
imBTC @tokenlon pool on @Uniswap has been attacked & drained🔥
Simple attack vector on ERC777 (with arbitrary code execution during transfer fct) on Uniswap to steal >$300k (#ETH+#BTC)
The vulnerability was described 16mths ago: https://t.co/a3AiJyY969 https://t.co/MKC2jNP1Y4 pic.twitter.com/cXOVu6le3P
— Julien Bouteloup (@bneiluj) April 18, 2020
Simple attack vector on ERC777 (with arbitrary code execution during transfer fct) on Uniswap to steal >$300k (#ETH+#BTC)
The vulnerability was described 16mths ago: https://t.co/a3AiJyY969 https://t.co/MKC2jNP1Y4 pic.twitter.com/cXOVu6le3P
— Julien Bouteloup (@bneiluj) April 18, 2020
«Механизм обратного вызова ERC777 (imBTC) позволил хакеру многократно выдавать и выводить imBTC до обновления баланса», — говорится в блоге.
Операция злоумышленников
Известно, что хакеры связались с dForce Foundation. По словам специалистов, злоумышленники намерены обсудить сложившуюся ситуацию. Представители компании готовы вступить в переговоры.
«Мы делаем все возможное, чтобы сдержать ситуацию. Мы связались с правоохранительными органами в нескольких юрисдикциях, обратились к эмитентам активов и биржам, чтобы отследить и занести в черный список адреса хакеров. Также мы привлекли к работе наших юристов», — так описали свои действия специалисты dForce.
При этом Миндао Янг признал свою вину в случившимся.
«Эта атака стала следствием моей ошибки. Хотя я не совершал атаку, я должен был предвидеть ее и принять соответствующие меры», — написал специалист в блоге.
Напомним, несколько дней назад команда dForce привлекла $1,5 млн от Huobi и других инвесторов.
https://bloomchain.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter