Три хака в един и същи ден за децентрализираните финанси (DeFi). Всъщност след Deus Finance именно протоколите Agave и Hundred са претърпели кражба, равняваща се на над 11 милиона долара. Разследванията все още продължават и все още не знаем дали е планирано възстановяване на средства за засегнатите потребители.
Хак на Agave и Hundred Finance
Тежък ден за децентрализираните финанси (DeFi): протоколите Hundred Finance и Agave претърпяха експлойт, малко след хака на Deus Finance по-рано през деня.
За съжаление днес веригата на Gnosis експлоатира стотици и агаве. Екипът на Gnosis е информиран, разследването продължава.
Всички стотици пазари на всички вериги са спрени за момента.
Това са двете операции:
Стотици https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) March 15, 2022
Общо над 11 милиона долара са откраднати от веригата Gnosis (xDai) от хакера. Кражбата е станала възможна благодарение на функция, въведена в един от разгърнатите договори, която е позволила на крадеца да вземе пари назаем, преди протоколите да са успели да ги реализират. Това обикновено се нарича „атака на повторното връщане“, която за съжаление е доста често срещана форма на експлойт.
Дефект директно в един от символите
Хакерът първоначално депозира еквивалента на 2 млн. долара в обезпечение чрез светкавичен заем, след което открадва около 1,5 млн. долара от няколко различни токена и още преди протоколът да изчисли съотношението между заема и стойността, успява да повтори действието няколко пъти. По този начин заетата сума е по-голяма от сумата, депозирана като обезпечение, което не позволява на протокола да ликвидира позицията си.
Накрая лицето прекратява експлойта чрез функцията „liquidationCall“, което му позволява да си тръгне с откраднатите средства, след като изплати първия първоначален заем.
Според няколко анализатори Agave и Hundred Finance, съответно разклонения на Aave и Compound, нямат вина за вътрешния си код. Всъщност се твърди, че недостатъкът идва директно от токени с проблеми със сигурността, които са активирали тази функция за „повторение“.
Обърнете внимание, че Aave не трябва да се притеснява, че ще има същата съдба, тъй като всички токени се проучват внимателно, преди да бъдат регистрирани в платформата, по-специално за да се гарантира, че функцията за повторно включване не е възможна.
Какво е въздействието върху протоколите?
Понастоящем изглежда невъзможно да се възстановят средствата. Всъщност средствата вече са преминали през основната мрежа и връщане назад вече не е възможно, въпреки че съответните интелигентни договори бързо бяха спрени. Освен това част от средствата вече са преминали през смесителя Tornado Cash, което силно ограничава възможността за проследяване на средствата.
Тъй като разследванията все още продължават, все още не знаем дали различните екипи предвиждат някакви мерки за възстановяване на разходите.
Що се отнася до токените, свързани с двата протокола, токена Hundred Finance (HND) не беше засегнат, тъй като той вече беше в низходяща тенденция от началото на февруари.
При токена Agave, AGVE, обаче се наблюдава ясен пробив от 69,5 долара до текущите 53,2 долара.
7-дневна цена на токена AGVE
