«Невезучий:» Протоколы Agave и Hundred Finance DeFi эксплуатируются для получения $11M
Хакер похитил около 11 миллионов долларов в криптовалютах ETH (wETH), BTC (wBTC), Chainlink (LINK), USD Coin (USDC), Gnosis (GNO) и XDAI (wxDAI) после использования атаки «re-entrancy» на приложения децентрализованного финансового (DeFi) протокола кредитования Agave и Hundred Finance.
Атака произошла в течение 24 часов после того, как стало известно об эксплойте Deus Finance, с помощью которого хакеры похитили более $3 млн в даях (DAI) и эфирах (ETH) с платформы кредитных контрактов.
Токен Agave AGVE упал на 20% после атаки, согласно данным CoinGecko. Токен Hundred Finances HND упал на 3,5% после объявления об эксплойте. Однако с тех пор он восстановился и достиг 24-часового максимума.
«Agave в настоящее время расследует эксплойт на протоколе agave finance», — написала компания Agave в Твиттере во вторник. «Мы сообщим вам, как только узнаем больше». Она отметила, что заключение контрактов приостановлено до разрешения ситуации.
Команда Hundred Finance также сообщила в Твиттере, что она подверглась эксплуатации в сети Gnosis и приостановила работу своих рынков на время проведения расследования.
Согласно анализу цепочки, адрес, связанный со злоумышленником, отправил более 2 100 ETH, стоимостью более 5,5 млн долларов, на криптомикшер в попытке отмыть украденные токены.
Разработчик Solidity и создатель приложения протокола ликвидности NFT Шеген (@shegenerates), написала в Твиттере, что потеряла $225 000 в результате эксплойта. Ее расследование показало, что атака работала путем использования функции wETH-контракта в Gnosis Chain, позволяя злоумышленнику продолжать заимствовать криптовалюту до того, как приложение сможет рассчитать долг, предотвращая дальнейшее заимствование.
Злоумышленник использовал этот эксплойт, постоянно занимая под тот же залог, который он размещал, пока средства не были выведены из протоколов.
Шеген сказала Cointelegraph, что, хотя смарт-контракт Agave по сути такой же, как и Aave, который обеспечивает $18,4 млрд, «каждый исследователь безопасности проверил его», — сказала она. «Поэтому разумно предположить, что контракт безопасен».
«Я думаю, что этот взлом выделяется больше, чем некоторые более крупные», — сказала Шеген, отметив, что даже если это был меньший взлом по сравнению с другими, которые украли на миллионы больше, сходство с Aave означает, что «он кажется безопасным на высшем уровне, но это не так, и такой разрыв доверия причиняет боль».
«Это похоже на то, что вы не можете доверять даже «безопасному» коду».
Исследователь безопасности блокчейна Мудит Гупта говорит, что разница между Aave и Agave заключается в том, что «Aave активно проверяет повторное вхождение перед размещением токенов в основной сети, чтобы избежать подобных атак».
Шеген заявил, что не винит разработчиков Agave в том, что они не смогли предотвратить атаку.
«Agave использовался небезопасным способом», — сказала она. «Возможно, разработчикам не следовало разрешать использовать в платформе токены с обратными вызовами или добавить больше защит от повторного вхождения».
«Curve, например, не был взломан сегодня, потому что он имеет дополнительные защиты от повторного проникновения, но я не очень-то виню Luigy и команду Agave, потому что это настолько маловероятно, что это могло произойти, и проскользнуло мимо многих людей.»
Шеген также не стал возлагать вину на Gnosis за создание токенов с функцией обратного вызова, которой воспользовался хакер, сказав, что эта функция не позволяет пользователям случайно потерять свою криптовалюту.
«На самом деле это отличная функция для мостовых токенов, просто, на мой взгляд, это очень неудачное и несчастливое обстоятельство».