Inte ett, utan två decentraliserade finansprotokoll (DeFi) – Agave och Hundred Finance – utnyttjades i ett nytt fall av en "återinträdesattack".
Hackern ska ha lyckats häva pengar värda 11 miljoner dollar i Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis och Wrapped XDAI på båda DeFi-protokollen i Gnosis-kedjan med hjälp av ett flashlån.
Hackarna
Mätning vid datum tillgänglig på Tenderly för båda överträdelser, fann man att hackaren utnyttjade ett återinträdesfel i de två protokollen.
För den oinitierade är "återinträde" en sårbarhet i programmeringsspråket Solidity som gör det möjligt för en skadlig enhet att lura ett protokolls smarta kontrakt till att göra ett externt anrop till ett opålitligt kontrakt. Efter att angriparen har fått kontroll över det opålitliga kontraktet kan de göra rekursiva anrop till den ursprungliga funktionen för att tömma dess medel.
Blockchain och säkerhetsforskare, Mudit Gupta, avslöjade att de officiella överbryggade tokens på Gnosis är huvudboven och uppgav att de är "icke-standardiserade och har en krok som ringer upp tokenmottagaren vid varje överföring." Han tillade att detta är vad som tillåter återinträdesattacker.
Agave är en gaffel av DeFi-utlåningsplattformen Aave, medan utlåningsprojektet med flera kedjor, Hundred Finance, är en gaffel av Compound. Gupta hävdade också att Compound inte följer det rekommenderade mönstret för kontroller-effekter-interaktioner trots att de hänvisar till det.
Återinträdesattackerna blir mer häpnadsväckande eftersom "koden exekverar interaktioner innan effekterna tillämpas." Å andra sidan försöker Aave följa det tidigare nämnda mönstret checks-effects-interactions. Det finns dock en väg via likvidationer där angriparen "bröt mönstret" i den senaste attacken. Han fortsatte med att tillägga,
"Agave- och hundraprotokollteamen trasslade till genom att lista en token som kan komma in igen. Aave och sammansatt styrning söker aktivt efter återinträde innan de listar tokens på huvudnätet för att undvika liknande attacker."
Populära DeFi-utlåningsplattformen Cream Finance, som delar en liknande kodbas som den för Compound, var också utnyttjas i en attack på 18.8 miljoner dollar för återinträde av flashlån i augusti förra året.
Fonder är inte SAFU
Enligt en utvecklare på DeFi protocol DanceFloor, "Shegan", är medlen inte säkra. Men Martin Köppelmann, grundaren av Gnosis, sade han skulle stödja en åtgärd från DAO. Teamet bakom Hundred Finance och Agave undersöker för närvarande bedrifterna och har pausat kontrakten.
Binance Free $100 (exklusivt): Använd den här länken att registrera dig och få $100 gratis och 10% rabatt på Binance Futures första månaden (villkor).
PrimeXBT Specialerbjudande: Använd den här länken för att registrera och ange POTATO50-koden för att få upp till $7,000 XNUMX på dina insättningar.
Källa: https://cryptopotato.com/defi-protocols-agave-hundred-finance-hacked-attacker-steals-11m-worth-of-crypto/