Egy hacker hozzávetőleg 11 millió dollárt keresett a Wrapped ETH, a Wrapped BTC, a Chainlink, az USDC, a Gnosis és a Wrapped XDAI termékekből, miután „újra belépő” támadást indított a DeFi kölcsönprotokoll-alkalmazások Agave és Hundred Finance ellen.
A támadás 24 órán belül történt azután, hogy hírt adtak a Deus Finance kizsákmányolásáról, ahol a hackerek több mint 3 millió dollárt loptak el a Dai és az Ethereum kölcsönzési platformjáról.
A legjobb üzleti robotjaink
A CoinGecko adatai szerint az Agave tokenje, az AGVE 20 százalékkal csökkent a támadást követően. A Hundred Finances token HND-je 3,5 százalékkal esett vissza, miután bejelentette a kizsákmányolást, azonban azóta helyreállt, és elérte a 24 órás csúcsot.
„Az Agave jelenleg az agave pénzügyi protokolljával kapcsolatos kizsákmányolást vizsgál” – írta Agave 15-én, kedden, 13:30-kor (UTC) a Twitteren: „Amint többet tudunk, tájékoztatjuk Önt.” Megjegyezte, hogy a szerződéseket a helyzet rendezéséig felfüggesztették.
A Hundred Finance csapata a Twitteren azt is közzétette, hogy a Gnosis láncon kihasználták, és a vizsgálat idejére felfüggesztette piacait.
A láncon belüli elemzés szerint a támadóval társított cím több mint 2100 ETH-t küldött, több mint 5,5 millió dollár értékben egy kripto-keverőnek, hogy megpróbálja kimosni az ellopott tokeneket.
Összefüggő:A Deus Finance kizsákmányolása: A hackerek 3 millió dollár értékű DAI-t és Ethert kapnak
A Solidity fejlesztője és egy NFT likviditási protokollalkalmazás megalkotója, Shegen (@shegenerates) a Twitteren azt írta, hogy 225 000 dollárt veszített a kihasználás során, és vizsgálatai kimutatták, hogy a támadás a Gnosis Chain wETH szerződéses funkciójának kihasználásával működött, amely lehetővé tette a támadó számára, hogy folytassa a kriptokölcsönzést. mielőtt az alkalmazások kiszámolhatták volna az adósságot, ami megakadályozná a további hitelfelvételt.
A támadó végrehajtotta ezt a kizsákmányolást, és folyamatosan kölcsönt vett fel ugyanazon fedezet ellenében, amelyet ők is elhelyeztek, amíg a pénzeszközök el nem merültek a protokollokból.
Shegen azt mondta a Cointelegraphnak, hogy bár az Agave intelligens szerződése lényegében megegyezik az Aave-vel, amely 18,4 milliárd dollárt biztosít, "minden biztonsági kutató megvizsgálta azt", így ésszerű feltételezni, hogy a szerződés biztonságos.
„Úgy gondolom, hogy ez a hack jobban kitűnik, mint néhány nagyobb” – mondta Shegen, megjegyezve, hogy még ha kisebb is, mint mások, amelyek milliókkal többet loptak, az Aave-hez való hasonlóság azt jelentette, hogy „legfelsőbb szintű biztonságosnak tűnik, de nem az, és ez a bizalomtörés fáj.”
„Olyan, mintha nem is bízhatna a „biztonságos” kódban.
Mudit Gupta, a blokklánc biztonsági kutatója szerint az a különbség az Aave és az Agave között, hogy „az Aave aktívan ellenőrzi az újbóli belépést, mielőtt a tokeneket listázza a fő hálózaton, hogy elkerülje a hasonló támadásokat.”
Shegen kijelentette, hogy nem hibáztatta az Agave fejlesztőit, amiért nem sikerült megakadályozniuk a támadást.
"Az Agave-t nem biztonságos módon használták" - mondta -, "lehet, hogy a fejlesztőnek nem kellett volna megengednie, hogy visszahívást tartalmazó tokeneket használjanak a platformon, vagy több visszatérő védőt adjon hozzá."
"A Curve-t például nem törték fel ma, mert extra visszatérő őrök vannak benne, de nem igazán hibáztatom Luigyt és az Agave csapatát, mert annyira valószínűtlen, hogy ez megtörtént volna, és sok ember mellett elsuhant volna."
Shegen azt sem hibáztatta a Gnosisnak, hogy olyan visszahívási funkcióval rendelkező tokeneket hozott létre, amelyeket a hacker kihasznált, mondván, hogy a funkció megakadályozza, hogy a felhasználók véletlenül elveszítsék kriptokódjukat.
"Ez tulajdonképpen egy nagyszerű funkció az áthidalt tokenek esetében, csak egy nagyon szerencsétlen és szerencsétlen körülmény szerintem."
Olvassa tovább a Cointelegraphal