Hacker ukradl přes 3,6 milionu dolarů z decentralizovaného finančního protokolu dForce (DeFi) při útoku na trezor Curve, který provozoval na blockchainech Arbitrum a Optimism. Útok byl umožněn zranitelností reentrancy, která může nastat, když útočník opakovaně vyvolá funkci chytrého kontraktu a vytáhne z něj aktiva dříve, než kontrakt aktualizuje svůj vnitřní stav. dForce pozastavil své kontrakty, aby zabránil dalším škodám.
Dvě přední firmy zabývající se kryptobezpečností, BlockSec a PeckShield, potvrdily, že celkové ztráty způsobené útokem činí přibližně 3,6 milionu dolarů. Chyba v reentranci se vyskytovala ve funkci chytrého kontraktu, kterou dForce používala k výpočtu cen orákula v řetězcích Arbitrum a Optimism při připojení ke Curve Finance. Funkce známá jako „get_virtual_price“ se používá k výpočtu ceny tokenu likvidity pool.
Matthew Jiang, ředitel bezpečnostních služeb ve společnosti BlockSec, varoval, že zranitelný je každý protokol, který k výpočtu ceny oracle používá funkci „get_virtual_price“, včetně dForce. Doporučil projektům, aby při odhadu cen oracle podnikly další kroky, protože je mohou zmanipulovat záškodníci a provést útoky na reentrancy.