Drei Hacks an einem Tag für die dezentralisierte Finanzwelt (DeFi). Nach Deus Finance wurden nun auch die Protokolle Agave und Hundred um mehr als 11 Millionen US-Dollar betrogen. Die Ermittlungen sind noch nicht abgeschlossen und es ist noch nicht klar, ob die betroffenen Nutzer ihr Geld zurückerhalten werden.
Groß angelegter Hack auf Agave und Hundred Finance
Harter Tag für die dezentrale Finanzwirtschaft (DeFi): Die Protokolle Hundred Finance und Agave sind beide Opfer eines Exploits geworden, kurz nachdem Deus Finance früher am Tag gehackt wurde.
Unfortunately Hundred and Agave have both been exploited on Gnosis chain today. Das Gnosis-Team ist sich dessen bewusst, die Ermittlungen laufen weiter.
Alle Hundred-Märkte auf allen Ketten sind derzeit pausiert.
Dies sind die beiden Transaktionen:
Hundert https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) March 15, 2022
Insgesamt sind es mehr als 11 Millionen Dollar, die der Hacker aus der Gnosis Chain (xDai) entwendet hat. Der Diebstahl wurde durch eine Funktion ermöglicht, die in einen der eingesetzten Verträge eingebaut wurde und die es dem Dieb ermöglichte, sich Geld zu leihen, bevor die Protokolle dies überhaupt bemerken konnten. Dieser Vorgang wird gemeinhin als „reentrancy attack“ bezeichnet, eine Form des Exploits, die leider recht häufig vorkommt.
Eine Schwachstelle direkt in einem der Token
Zunächst zahlte der Hacker über einen Flash Loan den Gegenwert von 2 Millionen Dollar als Collateral ein, bevor er etwa 1,5 Millionen Dollar von mehreren verschiedenen Token stahl und, noch bevor das Protokoll das Verhältnis von Kreditaufnahme und Kreditvergabe berechnete, seine Aktion anschließend mehrfach wiederholen konnte. So war der geliehene Betrag höher als der als Collateral hinterlegte und hinderte das Protokoll daran, seine Position aufzulösen.
Schließlich beendete die Person den Exploit über die Funktion „liquidationCall“ und konnte mit den so entwendeten Geldern nach Rückzahlung des ersten ursprünglichen Darlehens wieder abreisen.
Mehreren Analysten zufolge haben Agave und Hundred Finance, die Forks von Aave bzw. Compound sind, nichts an ihrem internen Code zu beanstanden. Die Schwachstelle soll direkt von sicherheitsbedenklichen Token herrühren, die diese „reentrancy“-Funktion erst ermöglicht haben.
Aave muss sich keine Sorgen machen, dass es ihm genauso ergehen könnte, da alle Token sorgfältig geprüft werden, bevor sie auf der Plattform gelistet werden, um sicherzustellen, dass die Reentrancy-Funktion nicht möglich ist.
Wie wirkt sich das auf die Protokolle aus?
Aktuell scheint es unmöglich zu sein, die Gelder zurückzuholen. Tatsächlich sind die Gelder bereits über das Mainnet gelaufen, sodass ein Rollback nicht mehr möglich ist, obwohl die betroffenen Smart Contracts schnell pausiert wurden. Darüber hinaus ist ein Teil der Gelder bereits durch den Tornado Cash Mixer gelaufen, was die Möglichkeit, die Gelder zurückzuverfolgen, stark einschränkt.
Da die Ermittlungen noch nicht abgeschlossen sind, wissen wir noch nicht, ob die verschiedenen Teams eine Rückzahlung in Erwägung ziehen.
Was die Token der beiden Protokolle betrifft, so wurde das Token von Hundred Finance (HND) nicht wirklich beeinflusst, da es sich bereits seit Anfang Februar in einem Abwärtstrend befindet.
Das Agave-Protokoll (AGVE) hingegen verzeichnete einen deutlichen Einbruch von 69,5 US-Dollar auf derzeit 53,2 US-Dollar.
7-Tage-Kurs des AGVE-Tokens
