Dne 15. března útočník sifonoval přes 11 milionů dolarů od dvou DeFi platformy, Agave a Sto financí. Zdálo se, že jde o „reentrancy útok“ bleskové půjčky na oba protokoly na Gnózní řetězec podle vyšetřování. Stejně tak platformy zastavily své smlouvy, aby předešly dalším škodám.
Posouzení poškození
Solidity vývojář a tvůrce an NFT aplikace protokolu likvidity, Shegen se rozhodl upozornit na hack v sérii tweetů dne 16. března. Překvapivě tato analýza přišla poté, co výše zmíněná entita ztratila 225,000 XNUMX $ ve stejném exploitu.
Na webu již bylo několik dobrých vláken (a několik špatných, které se ozvaly příliš brzy). @Agave_lending a @HundredFinance hackuje dnes.
Zde je moje analýza a reflexe poté, co jsem ztratil více než 225 XNUMX $ z exploitu a prozkoumal jsem, co se stalo?
— Shegen (@shegenerates) 15. března 2022
Její předběžné vyšetřování odhalilo, že útok fungoval tak, že využila funkci smlouvy wETH na Gnosis Chain. Útočníkovi to umožnilo pokračovat v půjčování kryptoměn, než aplikace mohly dluh vypočítat, což by zabránilo dalšímu půjčování. Takže viník provedl zmíněnou kořist tím, že si půjčil za stejnou zástavu, kterou složili, dokud se prostředky nevyčerpaly z protokolů.
Aby toho nebylo málo, finanční prostředky nebyly v bezpečí. "Jsou skoro navždy pryč, ale stále je tu naděje," řekla přidáno. To znamená, že zakladatel Gnosis Martin Koppelmann tweetoval, aby vnesl do chaosu určitou jistotu. Koppelmann tvrdil,
nemůžeme dávat žádné sliby a nejprve bychom měli skutečně pochopit, co se stalo. Ale obecně bych podporoval návrh GnosisDAO, který by se snažil zabránit uživatelům ve ztrátě finančních prostředků např. půjčováním finančních prostředků/investováním finančních prostředků do @Agave_lending
— Martin Köppelmann ?? (@koeppelmann) 15. března 2022
Po nějakém dalším výzkumu útočník údajně nasadil tuto smlouvu se 3 funkcemi; V blocích 21120283 a 21120284 hacker použil smlouvu k interakci s dotčeným protokolem, přímo Agave. Chytrý kontrakt na Agave byl v podstatě stejný jako Aave, který zajistil 18.4 miliardy dolarů.
Protože nebyl hlášen žádný exploit v DUCH, jak by mohla být vypuštěna Agáve? No, tady je a shrnutí o tom, jak byl „neúmyslně“ používán nebezpečným způsobem.
Weth kontrakt byl nasazen poprvé, když někdo přešel weth do GC. Pokaždé, když přenesete přes most nový žeton, vytvoří se pro něj nový žetonový kontrakt.
Funkce callAfterTransfer pomáhá zabránit tomu, abyste posílali tokeny přímo na most a navždy je ztratili pic.twitter.com/ZiAZAcTtSI
— Shegen (@shegenerates) 15. března 2022
Zmíněný hacker si dokázal půjčit více, než bylo jejich zajištění v agáve. Tím odchází se všemi vypůjčitelnými aktivy.
Zdroj: X
Vypůjčená aktiva se skládala z 2,728.9 243,423 WETH, 24,563 16.76 USDC, 8,400 347,787 LINK, 11 WBTC, XNUMX XNUMX GNO a XNUMX XNUMX WXDAI. Celkově si hacker vydělal přibližně XNUMX milionů dolarů.
Nicméně Shegen nevinil vývojáře Agave, že nedokázali útoku zabránit. Řekla, že vývojáři spustili bezpečný a bezpečný kód založený na AAVE. Ačkoli použitý s nebezpečnými tokeny, nebezpečným způsobem.
„Všechny protokoly DeFi na GC by měly vyměnit stávající přemostěné tokeny za nové,“ uzavřela.
Výzkumník zabezpečení blockchainu Mudit Gupta zopakovala podobná příčina stojí za exploitem.
Agave a Hundred Finance byly dnes využívány v řetězci Gnosis (dříve xDAI).
Základním důvodem hacku je to, že oficiální přemostěné tokeny na Gnosis jsou nestandardní a mají háček, který při každém přenosu volá příjemce tokenu. To umožňuje reentrancy útoky. pic.twitter.com/8MU8Pi9RQT
- Mudit Gupta (@Mudit__Gupta) 15. března 2022
Zdroj: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/