Hacker vydělal s přibližně 11 miliony dolarů v Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis a Wrapped XDAI poté, co použil „re-entrancy“ útok na aplikace protokolu půjčování DeFi Agave a Hundred Finance.
K útoku došlo do 24 hodin od zveřejnění zprávy o zneužití Deus Finance, kde hackeři ukradli přes 3 miliony dolarů v Dai a Ethereu z platformy půjček.
Naši nejlepší obchodní roboti
Token Agave, AGVE, po útoku klesl o 20 procent, podle údajů z CoinGecko. Token HND Hundred Finances klesl o 3,5 procenta poté, co oznámil zneužití, ale od té doby se zotavil a dosáhl 24hodinového maxima.
"Agave v současné době vyšetřuje exploit na agávovém finančním protokolu," napsal Agave na Twitteru v úterý 15. ve 13:30 UTC, "Budeme vás informovat, jakmile budeme vědět více." Poznamenalo, že smlouvy byly pozastaveny, dokud se situace nevyřeší.
Tým Hundred Finance také tweetoval, že byl zneužit v řetězci Gnosis a pozastavil své trhy, zatímco prováděl vyšetřování.
Podle analýzy on-chain adresa spojená s útočníkem odeslala přes 2 100 ETH v hodnotě přes 5,5 milionu dolarů do směšovače kryptoměn ve snaze vyprat ukradené tokeny.
Příbuzný:Deus Finance exploit: Hackeři utečou s DAI a etherem v hodnotě 3 miliony dolarů
Shegen (@shegenerates) vývojářka Solidity a tvůrkyně aplikace protokolu likvidity NFT, Shegen (@shegenerates), tweetovala, že při zneužití ztratila 225 000 dolarů a že její vyšetřování odhalilo, že útok fungoval díky využití funkce smlouvy wETH na Gnosis Chain, která útočníkovi umožnila pokračovat v půjčování kryptoměn. dříve, než aplikace mohly vypočítat dluh, což by zabránilo dalšímu půjčování.
Útočník spustil tento exploit a neustále si půjčoval za stejnou záruku, jakou posílali, dokud nebyly prostředky vyčerpány z protokolů.
Shegen řekla Cointelegraphu, že zatímco smart kontrakt na Agave je v podstatě stejný jako Aave, který zajišťuje 18,4 miliardy dolarů, „každý bezpečnostní výzkumník to zkontroloval,“ řekla „takže je rozumné předpokládat, že kontrakt je bezpečný.“
"Myslím, že tento hack vyniká více než některé větší," řekl Shegen a poznamenal, že i když je to menší hack ve srovnání s jinými, které ukradly další miliony, podobnost s Aave znamenala "zdá se, že je bezpečný na nejvyšší úrovni, ale nebyl, a to přerušení důvěry bolí.“
"Je to, jako byste ani nemohli věřit "bezpečnému" kódu."
Výzkumník v oblasti blockchainu Mudit Gupta říká, že rozdíl mezi Aave a Agave je v tom, že „Aave aktivně kontroluje opětovné vstupy před uvedením tokenů na hlavní síť, aby se zabránilo podobným útokům.“
Shegen uvedla, že nevinila vývojáře Agave z toho, že nedokázali zabránit útoku.
"Agáve bylo použito nebezpečným způsobem," řekla, "možná vývojář neměl povolit použití tokenů se zpětným voláním na platformě, nebo přidat další strážce proti opětovnému vstupu."
"Například Curve dnes nebyl hacknut, protože má navíc stráže proti opětovnému vstupu, ale opravdu neobviňuji Luigyho a tým Agave, protože je tak nepravděpodobné, že by se to stalo a proklouzlo kolem mnoha lidí."
Shegen také neukázal vinu na Gnosis za vytvoření tokenů s funkcí zpětného volání, kterou hacker využil, s tím, že tato funkce zabrání uživatelům v náhodné ztrátě jejich kryptoměny.
"To je vlastně skvělá funkce pro přemostěné tokeny, podle mého názoru je to jen opravdu nešťastná a nešťastná okolnost."
Pokračujte ve čtení s Cointelegraph