«Не повезло»: протоколы Agave и Hundred Finance DeFi использовались за 11 миллионов долларов

Хакер скрылся примерно на 11 миллионов долларов в Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis и Wrapped XDAI после использования атаки «повторного входа» на приложения протокола кредитования DeFi Agave и Hundred Finance.

Атака произошла в течение 24 часов после публикации новостей об эксплойте Deus Finance, когда хакеры украли более 3 миллионов долларов в DAI и Ethereum с платформы кредитных контрактов.

По данным CoinGecko, после атаки токен Agave, AGVE, упал на 20%. Токен Hundred Finances HND упал на 3,5% после того, как было объявлено об эксплойте, однако с тех пор он восстановился и достиг 24-часового максимума.

«Agave в настоящее время расследует эксплойт в финансовом протоколе agave», — написала Agave в Твиттере во вторник, 15-го числа, в 13:30 UTC. «Мы сообщим вам, как только узнаем больше». Отмечается, что контракты приостановлены до разрешения ситуации.

Команда Hundred Finance также написала в Твиттере, что ее использовали в сети Gnosis, и приостановила свои рынки на время проведения расследования.

Согласно внутрисетевому анализу, адрес, связанный со злоумышленником, отправил более 2100 ETH на сумму более 5,5 миллионов долларов на крипто-микшер в попытке отмыть украденные токены.

Разработчик Solidity и создатель приложения протокола ликвидности NFT Шеген (@shegenerates) написала в Твиттере, что она потеряла 225 000 долларов в результате эксплойта, и что ее расследование показало, что атака работала за счет использования функции контракта wETH в Gnosis Chain, которая позволила злоумышленнику продолжить заимствование криптовалюты. прежде чем приложения смогут рассчитать долг, что предотвратит дальнейшее заимствование.

Злоумышленник запустил этот эксплойт, постоянно беря взаймы под одно и то же обеспечение, которое они размещали, пока средства не были выведены из протоколов.

Шеген сказала Cointelegraph, что, хотя смарт-контракт на Agave по сути такой же, как и на Aave, который обеспечивает 18,4 миллиарда долларов, «каждый исследователь безопасности проверил его», — сказала она, — «поэтому разумно предположить, что контракт безопасен».

«Я думаю, что этот взлом выделяется больше, чем некоторые более крупные», — сказал Шеген, отметив, что даже если это меньший взлом по сравнению с другими, которые украли еще миллионы, сходство с Aave означает, что «это кажется безопасным на высшем уровне, но это не так, и что нарушение доверия причиняет боль».

«Это похоже на то, что вы даже не можете доверять «безопасному» коду».

Исследователь безопасности блокчейна Мудит Гупта говорит, что разница между Aave и Agave заключается в том, что «Aave активно проверяет наличие повторного входа перед размещением токенов в основной сети, чтобы избежать подобных атак».

Шеген заявила, что не винит разработчиков Agave в том, что они не смогли предотвратить атаку.

«Agave использовалась небезопасным образом, — сказала она, — возможно, разработчику не следовало разрешать использование на платформе токенов с обратными вызовами или добавлять дополнительные средства защиты от повторного входа».

«Curve, например, не был взломан сегодня, потому что у него есть дополнительная защита от повторного входа, но я действительно не виню Луиджи и команду Agave, потому что маловероятно, что это могло бы произойти и проскользнуть мимо многих людей».

Шеген также не стал обвинять Gnosis в создании токенов с функцией обратного вызова, которую использовал хакер, заявив, что эта функция предотвращает случайную потерю пользователями своей криптовалюты.

«На самом деле это отличная функция для мостовых токенов, но, на мой взгляд, это очень неудачное и неудачное обстоятельство».