Haker uciekł z około 11 milionami dolarów w Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis i Wrapped XDAI po użyciu ataku „ponownego wejścia” na aplikacje protokołu kredytowego DeFi Agave i Hundred Finance.
Atak ma miejsce w ciągu 24 godzin od opublikowania wiadomości o exploitie Deus Finance, w którym hakerzy ukradli ponad 3 miliony dolarów w Dai i Ethereum z platformy kontraktów pożyczkowych.
Nasze najlepsze roboty biznesowe
Token Agave, AGVE, spadł o 20 procent po ataku, według danych CoinGecko. Hundred Finances token HND spadł o 3,5 procent po ogłoszeniu exploita, jednak od tego czasu odzyskany, osiągając 24-godzinne maksimum.
„Agawa obecnie bada exploit w protokole finansowym agawy”, napisała na Twitterze we wtorek 15. o 13:30 UTC, „Poinformujemy Cię, gdy tylko dowiemy się więcej”. Zauważył, że umowy zostały wstrzymane do czasu rozwiązania sytuacji.
Zespół Hundred Finance również napisał na Twitterze, że został wykorzystany w sieci Gnosis i wstrzymał swoje rynki na czas prowadzenia dochodzeń.
Zgodnie z analizą sieciową, adres powiązany z atakującym wysłał ponad 2100 ETH o wartości ponad 5,5 miliona dolarów do miksera kryptograficznego w celu wyprania skradzionych tokenów.
Związane z:Exploit Deus Finance: Hakerom uchodzi na sucho DAI i Ether o wartości 3 mln USD
Programista Solidity i twórca aplikacji protokołu płynności NFT, Shegen (@shegenerates) napisał na Twitterze, że straciła 225 000 USD w exploitie, a jej śledztwo ujawniło, że atak działał poprzez wykorzystanie funkcji kontraktu wETH na Gnosis Chain, która pozwoliła atakującemu na dalsze pożyczanie kryptowaluty zanim aplikacje będą mogły obliczyć dług, co uniemożliwiłoby dalsze zaciąganie pożyczek.
Atakujący uruchomił tego exploita, nieustannie pożyczając pieniądze pod te same zabezpieczenia, które publikowali, dopóki fundusze nie zostały pobrane z protokołów.
Shegen powiedziała Cointelegraph, że chociaż inteligentna umowa na Agave jest zasadniczo taka sama jak Aave, która zabezpiecza 18,4 mld USD, „każdy badacz bezpieczeństwa ją skontrolował”, powiedziała „więc rozsądne jest założenie, że umowa jest bezpieczna”.
„Myślę, że ten hack wyróżnia się bardziej niż niektóre większe” – powiedział Shegen, zauważając, że nawet jeśli jest to mniejszy hack w porównaniu do innych, które ukradły miliony więcej, podobieństwo do Aave oznaczało „wydaje się bezpieczny na najwyższym poziomie, ale nie był, i to zerwanie zaufania boli”.
„To tak, jakbyś nie mógł nawet zaufać „bezpiecznemu” kodowi”.
Badacz bezpieczeństwa Blockchain, Mudit Gupta, mówi, że różnica między Aave i Agave polega na tym, że „Aave aktywnie sprawdza ponowne wejście przed umieszczeniem tokenów w głównej sieci, aby uniknąć podobnych ataków”.
Shegen stwierdziła, że nie obwinia twórców Agave za to, że nie udało im się zapobiec atakowi.
„Agawa była używana w niebezpieczny sposób”, powiedziała, „być może programista nie powinien był zezwalać na używanie na platformie tokenów z wywołaniami zwrotnymi lub dodawać więcej zabezpieczeń przed ponownym wejściem”.
„Na przykład Curve nie zostało dzisiaj zhakowane, ponieważ ma dodatkowe zabezpieczenia przed ponownym wejściem, ale tak naprawdę nie obwiniam Luigy'ego i zespołu Agave, ponieważ jest to tak mało prawdopodobne, aby tak się stało i prześlizgnęło się obok wielu osób”.
Shegen nie zwróciła również uwagi na Gnosis za stworzenie tokenów z funkcją wywołania zwrotnego, którą wykorzystał haker, mówiąc, że funkcja ta zapobiega przypadkowej utracie krypto przez użytkowników.
„To naprawdę świetna funkcja dla mostkowanych tokenów, to po prostu naprawdę niefortunna i pechowa okoliczność, moim zdaniem”.
Czytaj dalej z Cointelegraph