Tři hacky v jeden den pro decentralizované finance (DeFi). Po Deus Finance jsou to totiž právě protokoly Agave a Hundred, které utrpěly krádež v hodnotě více než 11 milionů dolarů. Vyšetřování stále probíhá a zatím nevíme, zda se plánuje vrácení peněz postiženým uživatelům.
Hack na Agave a Hundred Finance
Těžký den pro decentralizované finance (DeFi): protokoly Hundred Finance a Agave utrpěly exploit, krátce po hacknutí Deus Finance, ke kterému došlo dříve během dne.
Naneštěstí byly dnes v řetězci Gnosis zneužity hry Hundred a Agave. Tým Gnosis o tom ví, vyšetřování probíhá.
Všechny stovkové trhy ve všech řetězcích jsou prozatím pozastaveny.
Jedná se o dvě transakce:
Hundred https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) 15. března 2022
Celkem bylo hackerem z řetězce Gnosis (xDai) odcizeno více než 11 milionů dolarů. Krádež byla umožněna díky funkci zavedené v jedné z nasazených smluv, která zloději umožnila půjčit si peníze ještě předtím, než je protokoly mohly realizovat. Běžně se tomu říká „reentrancy attack“, což je bohužel poměrně častá forma zneužití.
Chyba přímo v jednom z tokenů
Hacker nejprve prostřednictvím bleskové půjčky vložil do zástavy ekvivalent 2 milionů dolarů, poté ukradl přibližně 1,5 milionu dolarů z několika různých tokenů a ještě předtím, než protokol vypočítal poměr půjčky k hodnotě, dokázal akci několikrát zopakovat. Vypůjčená částka tak byla vyšší než částka složená jako zajištění, což protokolu zabránilo v likvidaci jeho pozice.
Nakonec osoba ukončila zneužití pomocí funkce „liquidationCall“, což jí umožnilo odejít s ukradenými prostředky po splacení první počáteční půjčky.
Podle několika analytiků si Agave a Hundred Finance, respektive rozvětvení Aave a Compound, nemají co vyčítat na svém interním kódu. Ve skutečnosti prý chyba pochází přímo z tokenů s bezpečnostními problémy, které tuto funkci „reentrancy“ umožnily.
Všimněte si, že společnost Aave se nemusí obávat, že by ji potkal stejný osud, protože všechny tokeny jsou před uvedením na platformu pečlivě zkoumány, zejména proto, aby se zajistilo, že funkce reentrancy nebude možná.
Jaký dopad na protokoly?
V současné době se zdá být nemožné získat zpět finanční prostředky. Finanční prostředky již skutečně prošly mainnetem a vrácení zpět již není možné, ačkoli příslušné chytré smlouvy byly rychle pozastaveny. Navíc část prostředků již prošla směšovačem Tornado Cash, což značně omezuje možnost jejich dohledání.
Vzhledem k tomu, že vyšetřování stále probíhá, zatím nevíme, zda jednotlivé týmy plánují nějaká opatření k úhradě.
Co se týče tokenů souvisejících s těmito dvěma protokoly, token Hundred Finance (HND) nebyl nijak výrazně ovlivněn, protože již od začátku února vykazoval klesající trend.
Token Agave, AGVE, však zaznamenal jasný propad z 69,5 USD na současných 53,2 USD.
7denní cena tokenu AGVE
