Очередные выходные оказались ознаменованы атакой на криптовалютный сервис. Протокол децентрализованных финансов (DeFi) dForce потерял почти все активы в результате вмешательства злоумышленников.
По данным DeFi Pulse, 17 апреля остаток на кошельках dForce составлял $25,38 млн, однако к 19 апреля упал до $10 000. Были ли все деньги выведены злоумышленниками или часть успели забрать пользователи, неизвестно.
Атака была осуществлена через принадлежащий проекту открытый протокол рынка краткосрочных капиталов Lendf.Me. «Lendf.me подтвердил атаку в 08:45 по пекинскому времени в воскресенье на блоке 9899681», – пишет китайское издание Chain News со ссылкой на представителей проекта.
По мнению наблюдателей, в атаке использовался ERC777-токен imBTC, отражающий стоимость биткоина в блокчейне Ethereum. Его поддержка в Lendf.Me была добавлена в январе. В настоящее время сайт Lendf.Me недоступен. Ранее на нём отображалось сообщение с призывом к пользователям не переводить активы на его адреса.
Генеральный директор популярного DeFi-проекта Compound Роберт Лешнер обвинил dForce в «копировании первичной версии их кодовой базы без изменений». «Если у проекта нет навыков для разработки своего собственного смарт-контракта и вместо этого он крадёт и перезапускает чей-то ещё защищённый авторским правом код, это признак неспособности или отсутствия желания заботиться о безопасности», – написал он.
18 апреля разработчики Tokenlon DEX также сообщили об атаке на пул imBTC протокола Uniswap, убытки от которой составили около $300 000. «Хакер воспользовался вектором атаки против ERC777-токенов на Uniswap. Хранилище BTC не затронуто», – заявили они.
Формат ERC777 позволяет многократно обращаться к смарт-контракту для вывода находящихся в нём средств, что упрощает задачу злоумышленника. По наблюдениям Tokenlon, этот алгоритм использовался в обеих атаках. Похожий метод применялся и во время нашумевшей атаки на The DAO в 2016 году, когда хакеры присвоили около $60 млн в ETH.
Несколько дней назад dForce Foundation сообщили о получении $1,5 млн стратегического финансирования от Multicoin Capital, Huobi Capital и China Merchants Bank International (CMBI), являющегося инвестиционным подразделением одного из крупнейших банков Китая. Предполагалось, что эти деньги пойдут на расширение штата и запуск новых продуктов.
