Компания PeckShield, специализирующаяся на защите блокчейна, 9 августа выявила новые уязвимости, направленные на децентрализованные финансовые проекты (DeFi). По данным компании, проект Aave protocols Earning Farm был скомпрометирован атакой reentrancy, в результате чего было похищено не менее 287 тыс. долларов США в виде эфира (ETH).

#PeckShieldAlert ~$287K #Ethereum pic.Twitter.com/TOQ9oSzcGN

- PeckShield Inc. (@peckshield) 9 августа 2023 г.

Атака с ретрансляцией похожа на обман банкомата, заставляющего его несколько раз выдать деньги, прежде чем он поймет, что у вас их больше нет. Это происходит путем обмана при запросе денег, в результате чего система обманывает злоумышленника, предоставляя ему больше средств, чем у него есть в наличии. Аналогичным образом в компьютерах злоумышленники используют этот прием для получения большего доступа к ресурсам, чем положено, вызывая функции, взаимодействующие с контрактами, несколько раз до завершения первого вызова функции.

Неясно, связана ли эта атака с эксплойтами для пулов Curve Finances. Стабильные пулы протоколов DeFi также подверглись атакам реентерабельности 30 июля, в результате чего было выведено более 61 млн. долл. Взлом Curve был осуществлен благодаря уязвимости, затрагивающей три версии языка программирования Vyper - общего языка контрактов, широко используемого разработчиками протоколов DeFi.

Earning Farm разработан как удобный протокол для держателей Ether, обернутых Bitcoin, (wBTC) и USD Coin (USDC). Как указано на сайте компании, аудит ее блокчейн-контрактов провела компания Slowmist.

Это уже не первый случай атаки на протокол. В октябре 2022 года компания Earning Farm подверглась двум злонамеренным взломам своего хранилища EFLeverVault посредством атак флэш-кредитования, в результате чего из протокола было выведено 750 Эфиров. В ходе атак "флэш-кредитования" хакер берет в долг большую сумму криптовалюты в одной транзакции, манипулирует ее стоимостью с помощью различных операций, а затем возвращает кредит - и все это в рамках одной транзакции. Такие атаки используют несоответствие цен и временный дисбаланс в системе для получения прибыли.

Журнал: Депозитный риск: Что на самом деле делают криптовалютные биржи с вашими деньгами?

Источник