Ein Hacker hat sich mit rund 11 Millionen US-Dollar in Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis und Wrapped XDAI davongemacht, nachdem er einen „Wiedereintritts“-Angriff auf die DeFi-Kreditprotokollanwendungen Agave und Hundred Finance durchgeführt hatte.
Der Angriff erfolgt innerhalb von 24 Stunden nach Bekanntwerden des Deus Finance-Exploits, bei dem Hacker über 3 Millionen Dollar in Dai und Ethereum von der Kreditvertragsplattform gestohlen haben.
Unsere Top Trading Bots
Der Token von Agave, AGVE, fiel nach dem Angriff um 20 Prozent, so die Daten von CoinGecko. Der Token HND von Hundred Finances fiel um 3,5 Prozent, nachdem er den Exploit angekündigt hatte, hat sich jedoch seitdem erholt und ein 24-Stunden-Hoch erreicht.
„Agave untersucht derzeit einen Exploit im Agave-Finanzprotokoll“, twitterte Agave am Dienstag, den 15. um 13:30 Uhr UTC, „Wir werden Sie informieren, sobald wir mehr wissen.“ Es stellte fest, dass die Verträge ausgesetzt wurden, bis die Situation gelöst ist.
Das Team von Hundred Finance twitterte auch, dass es in der Gnosis-Kette ausgenutzt wurde, und hat seine Märkte angehalten, während es Ermittlungen fortsetzte.
Laut On-Chain-Analyse hat die mit dem Angreifer verbundene Adresse über 2.100 ETH im Wert von über 5,5 Millionen US-Dollar an einen Krypto-Mixer gesendet, um die gestohlenen Token zu waschen.
Verbunden:Deus Finance Exploit: Hacker kommen mit DAI und Ether im Wert von 3 Millionen Dollar davon
Die Solidity-Entwicklerin und Schöpferin einer NFT-Liquiditätsprotokoll-App, Shegen (@shegenerates), twitterte, dass sie bei dem Exploit 225.000 US-Dollar verloren habe und dass ihre Untersuchungen ergaben, dass der Angriff funktionierte, indem eine wETH-Vertragsfunktion auf Gnosis Chain ausgenutzt wurde, die es dem Angreifer ermöglichte, weiterhin Krypto zu leihen bevor die Apps die Schulden berechnen könnten, was eine weitere Kreditaufnahme verhindern würde.
Der Angreifer führte diesen Exploit durch und borgte kontinuierlich gegen dieselben Sicherheiten, die er hinterlegt hatte, bis die Gelder aus den Protokollen abgezogen wurden.
Shegen sagte gegenüber Cointelegraph, dass der Smart Contract auf Agave zwar im Wesentlichen derselbe ist wie Aave, der 18,4 Milliarden US-Dollar sichert, aber „jeder Sicherheitsforscher ihn geprüft hat“, sagte sie, „daher ist es vernünftig anzunehmen, dass der Vertrag sicher ist“.
„Ich denke, dieser Hack sticht mehr hervor als einige größere“, sagte Shegen und bemerkte, dass, selbst wenn es sich um einen kleineren Hack im Vergleich zu anderen handelt, die Millionen mehr gestohlen haben, die Ähnlichkeit mit Aave bedeutete, „er scheint erstklassig sicher zu sein, war es aber nicht. und dieser Vertrauensbruch tut weh.“
„Es ist, als könne man nicht einmal „sicherem“ Code vertrauen.“
Laut dem Blockchain-Sicherheitsforscher Mudit Gupta besteht der Unterschied zwischen Aave und Agave darin, dass „Aave aktiv auf Wiedereintritt prüft, bevor Token im Hauptnetz aufgelistet werden, um ähnliche Angriffe zu vermeiden“.
Shegen erklärte, dass sie die Agave-Entwickler nicht dafür verantwortlich mache, dass sie den Angriff nicht verhindert hätten.
„Agave wurde auf unsichere Weise verwendet“, sagte sie, „vielleicht hätte der Entwickler nicht zulassen sollen, dass Token mit Rückrufen auf der Plattform verwendet werden, oder mehr Wiedereintrittssicherungen hinzufügen sollen.“
„Curve zum Beispiel wurde heute nicht gehackt, weil es zusätzliche Wiedereintrittswachen hat, aber ich gebe Luigy und dem Agave-Team nicht wirklich die Schuld, weil es so unwahrscheinlich ist, dass dies passiert wäre und viele Leute vorbeigeschlichen wären.“
Shegen gab Gnosis auch nicht die Schuld für die Erstellung von Token mit einer Rückruffunktion, die der Hacker ausnutzte, und sagte, dass die Funktion Benutzer daran hindere, versehentlich ihre Krypto zu verlieren.
„Das ist eigentlich ein großartiges Feature für überbrückte Token, es ist meiner Meinung nach nur ein wirklich unglücklicher und unglücklicher Umstand.“
Lesen Sie weiter mit Cointelegraph