Een hacker is er vandoor gegaan met ongeveer $ 11 miljoen aan Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis en Wrapped XDAI na het gebruik van een "re-entrancy" -aanval op DeFi-leenprotocoltoepassingen Agave en Hundred Finance.
De aanval komt binnen 24 uur na het uitbreken van het nieuws over de Deus Finance-exploit, waarbij hackers meer dan $ 3 miljoen aan Dai en Ethereum hebben gestolen van het uitleencontractplatform.
Onze beste handelsrobots
Agave's token, AGVE, daalde met 20 procent na de aanval, volgens gegevens van CoinGecko. De token HND van Hundred Finances daalde met 3,5 procent nadat het de exploit aankondigde, maar het is sindsdien hersteld en bereikte een 24-uurshoogte.
"Agave onderzoekt momenteel een exploit op het agave-financieringsprotocol", tweette Agave dinsdag 15 om 13.30 uur UTC, "We zullen u op de hoogte houden zodra we meer weten." Het merkte op dat de contracten zijn onderbroken totdat de situatie is opgelost.
Het team van Hundred Finance tweette ook dat het werd uitgebuit in de Gnosis-keten en zijn markten heeft stilgelegd terwijl het onderzoek voortzette.
Volgens on-chain-analyse heeft het adres dat aan de aanvaller is gekoppeld, meer dan 2.100 ETH, ter waarde van meer dan $ 5,5 miljoen, naar een cryptomixer gestuurd in een poging de gestolen tokens wit te wassen.
Verwant:Deus Finance-exploit: hackers komen weg met $ 3 miljoen aan DAI en Ether
Solidity-ontwikkelaar en maker van een NFT-liquiditeitsprotocol-app, Shegen (@shegenerates) tweette dat ze $ 225.000 verloor aan de exploit, en dat haar onderzoek onthulde dat de aanval werkte door gebruik te maken van een wETH-contractfunctie op Gnosis Chain waardoor de aanvaller crypto kon blijven lenen voordat de apps de schuld konden berekenen, wat verder lenen zou voorkomen.
De aanvaller voerde deze exploit uit en leende voortdurend tegen hetzelfde onderpand dat ze hadden geplaatst totdat het geld uit de protocollen was verdwenen.
Shegen vertelde Cointelegraph dat hoewel het slimme contract op Agave in wezen hetzelfde is als Aave, dat $ 18,4 miljard veilig stelt, "elke beveiligingsonderzoeker het heeft gecontroleerd", zei ze, "dus het is redelijk om aan te nemen dat het contract veilig is."
"Ik denk dat deze hack meer opvalt dan sommige grotere," zei Shegen, erop wijzend dat zelfs als het een kleinere hack is in vergelijking met andere die miljoenen meer hebben gestolen, de gelijkenis met Aave betekende: "het lijkt veilig, maar was het niet, en die vertrouwensbreuk doet pijn.”
"Het is alsof je de "veilige" code niet eens kunt vertrouwen."
Blockchain-beveiligingsonderzoeker Mudit Gupta zegt dat het verschil tussen Aave en Agave is dat "Aave actief controleert op herintreding voordat tokens op het hoofdnet worden geplaatst om soortgelijke aanvallen te voorkomen."
Shegen verklaarde dat ze de Agave-ontwikkelaars niet de schuld gaf van het niet voorkomen van de aanval.
"Agave werd op een onveilige manier gebruikt", zei ze, "misschien had de ontwikkelaar geen tokens met callbacks erin moeten toestaan om op het platform te worden gebruikt, of meer re-entrancy-bewakers toe te voegen."
"Curve, bijvoorbeeld, is vandaag niet gehackt, omdat het extra re-entrancy-bewakers heeft, maar ik neem het Luigy en het Agave-team niet echt kwalijk, omdat het zo onwaarschijnlijk is dat dit zou zijn gebeurd en veel mensen voorbij is geglipt."
Shegen wees Gnosis ook niet de schuld voor het maken van tokens met een callback-functie die de hacker uitbuitte, en zei dat de functie voorkomt dat gebruikers per ongeluk hun crypto kwijtraken.
"Dat is eigenlijk een geweldige functie voor overbrugde tokens, het is naar mijn mening gewoon een heel ongelukkige en ongelukkige omstandigheid."
Blijf lezen met CoinTelegraph
