A dForce egy decentralizált pénzügyi szolgáltatásokat nyújtó cég, aminek Ethereum alapú hitelező platformjáról, a LendfMe-ről 24.5 millió dollárt loptak el a hétvégén.
[banner id=”85814″ caption_position=”bottom” theme=”default_style” height=”auto” width=”auto” show_caption=”1″ show_cta_button=”1″ use_image_tag=”1″]
A támadó a 2016-os DAO hack-nél is alkalmazott módszerrel fújta meg az összeget. Folyamatosan olyan kérelmekkel bombázta a platformot felügyelő okos szerződést, hogy az utalja vissza neki az ide befizetett pénzét, de ezek a kiutalási kérelmek egy biztonsági hiba miatt gyorsabban kerültek feldolgozásra, mint ahogy a rendszer frissítette volna a saját egyenlegét, vagyis többször is átutalta neki ugyanazokat az összegeket.
A dForce/Lendfme számlaegyenlege
Az esetet kommentáló szakértőket nem igazán lepte meg az eset, a dForce ugyanis az egyik legnagyobb DeFi platform, a Compound forráskódját másolta le, és ez alapján indította el a Lendfme-t, vagyis üzemeltetői valószínűleg semmilyen különösebb erőfeszítést nem tettek azért, hogy annak biztonságát továbbfejlesszék.
If a project doesn't have the expertise to develop it's own smart contracts, and instead steals and redeploys somebody else's copyrighted code, it's a sign that they don't have the capacity or intention to consider security.
Hope developers & users learn from the @LendfMe hack.
— Robert Leshner (@rleshner) April 19, 2020
Maga a Compund egyébként immunis lenne egy ilyen támadásra, ugyanis a Lendfme esetében a támadást egy speciális token típus (ERC777) biztonsági hibájára alapozva hajtották végre, amit a Compund nem támogat és a kódjuk ezért sem volt alkalmas egy ilyen támadás elhárítására. A Lendfme tulajdonosa, a dForce egyébként éppen a múlt héten jelentette be, hogy 1.5 millió dolláros befektetői támogatást kapott a Huobitól és a Multicoin Capital-től, hogy ezzel segítsék elő a kínai hátterű cég további terjeszkedését.