DeFiプロトコルインデックス付きファイナンスは1600万ドルのエクスプロイトに苦しんでいます

SIMETRIリサーチ 海外仮想通貨ニュース

原文(英)DeFiプロトコルインデックス付きファイナンスは1600万ドルのエクスプロイトに苦しんでいます

2021-10-15 23:36:19

重要なポイント

  • ハッカーは、IndexedFinanceのインデックスプールから1600万ドル以上を流出させました。
  • このエクスプロイトは、プールを管理するアルゴリズムをだまして、本来よりもはるかに低いプールの値を計算することで機能しました。
  • 2人の独立したセキュリティ専門家がプロトコルのスマートコントラクトをレビューしたにもかかわらず、脆弱性は発見されませんでした。

この記事を共有する

Indexed Financeは、ハッカーがプロトコルのスマートコントラクトの脆弱性を悪用した後、1600万ドル以上のユーザー資産を失いました。

悪用されたインデックス付きファイナンス

ハッカーは、IndexedFinanceのスマートコントラクトをゲーム化する方法を見つけました。

木曜日の夜に行われたこのエクスプロイトでは、ハッカーが2つのIndexedFinanceインデックスから1600万ドル以上の資産を流出させました。

ハッカーは、プールが預け入れた資産の価値を計算する方法を管理するスマートコントラクトコードを攻撃することにより、DEFI5およびCC10プールから資金を取得しました。 ハッカーは、UNIトークンと引き換えにフラッシュローンの資産をプールに送り込むことで、アルゴリズムをだまして、本来よりもはるかに低いプールの値を計算させました。

これにより、ハッカーはプールのインデックストークンを大量に作成し、それを燃やして原資産を要求することができました。 ハッカーが最初のフラッシュローンを完済した後、彼らはDEFI5プールから1100万ドル相当の資産を、CC10プールからさらに500万ドルの資産を手に入れて逃げることができました。

エクスプロイトに続いて、Indexed Financeチームは状況を迅速に評価し、 事後分析、エクスプロイトがどのように発生したかを分析し、コミュニティに謝罪します。 さらに、プロトコルの開発者は、エクスプロイトの再発を防ぐ方法をすでに提案しており、次のようにコメントしています。

「コントローラーのスマートコントラクトを変更して、概算値関数を削除し、所有するすべてのトークンのプールが保持する残高の合計値を取得する関数に置き換えます。」

プロトコルが展開する前に、2人の独立したセキュリティ専門家がIndexedFinanceスマートコントラクトを監査したことに注意することが重要です。 Consensysの勤勉さの元監査人であるDanielLucaと、Sushiの現在のコア開発者であるMuditGuptaの両方が 審査 契約しましたが、脆弱性を見つけることができませんでした。

Index Financeは、ユーザーがさまざまな暗号通貨ベースのインデックスに投資できるようにするDeFiプロトコルです。 各インデックスプールを使用すると、ユーザーはインデックストークンと原資産の間で自由に取引できます。これは、ハッカーが悪用した機能です。

Indexed Financeチームは、失われた資産をユーザーに補償する計画をまだ発表しておらず、すぐに提案の準備ができると述べています。

インデックス付きファイナンスは、今年、エクスプロイトに苦しむためにDeFiプロトコルの長いリストに加わります。 6億ドルのポリネットワークエクスプロイトなどの一部のハッキングにより、最終的にハッカーが発生しました 戻る 盗まれた資金、多くは彼らの資産を回復することができません。 Indexed Financeのエクスプロイトの複雑さから判断すると、ハッカーが今回資金を返す可能性は低いようです。

免責事項:この機能を書いている時点で、作者はBTC、ETH、および他のいくつかの暗号通貨を所有していました。

この記事を共有する


元ソース

続き・詳細はこちら

DeFiプロトコルインデックス付きファイナンスは1600万ドルのエクスプロイトに苦しんでいます

タイトルとURLをコピーしました