Tre hack nello stesso giorno per la finanza decentralizzata (DeFi). Infatti, dopo Deus Finance, sono i protocolli Agave e Hundred che hanno subito un furto equivalente a più di 11 milioni di dollari. Le indagini sono ancora in corso e non sappiamo ancora se è previsto un rimborso per gli utenti interessati.
Hack on Agave and Hundred Finance
Giornata dura per la finanza decentralizzata (DeFi): i protocolli Hundred Finance e Agave hanno entrambi subito un exploit, poco dopo l’hack di Deus Finance all’inizio della giornata.
Purtroppo Hundred e Agave sono stati entrambi sfruttati sulla catena Gnosis oggi. La squadra Gnosis è consapevole, l’indagine è in corso.
Tutti i cento mercati di tutte le catene sono in pausa per ora.
Queste sono le due transazioni:
Cento https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) March 15, 2022
In totale, più di 11 milioni di dollari sono stati rubati dalla catena Gnosis (xDai) dall’hacker. Il furto è stato reso possibile da una funzione introdotta in uno dei contratti distribuiti, che ha permesso al ladro di prendere in prestito denaro prima che i protocolli potessero anche realizzarlo. Questo è comunemente indicato come un “attacco di rientro”, che purtroppo è una forma abbastanza comune di exploit.
Un difetto direttamente in uno dei token
L’hacker ha inizialmente depositato l’equivalente di 2 milioni di dollari in garanzia tramite un prestito flash, prima di rubare circa 1,5 milioni di dollari da diversi token e, anche prima che il protocollo calcolasse il rapporto prestito-valore, è stato in grado di ripetere l’azione più volte. Così, l’importo preso in prestito era superiore all’importo depositato in garanzia, impedendo al protocollo di liquidare la sua posizione.
Infine, l’individuo ha terminato l’exploit tramite la funzione “liquidationCall”, permettendogli di andare via con i fondi rubati dopo aver pagato il primo prestito iniziale.
Secondo diversi analisti, Agave e Hundred Finance, rispettivamente fork di Aave e Compound, non hanno nulla da rimproverare al loro codice interno. In effetti, si dice che la falla provenga direttamente dai token con problemi di sicurezza, che hanno abilitato questa funzione di “reentrancy”.
Si noti che Aave non deve preoccuparsi di subire la stessa sorte, poiché tutti i token sono attentamente studiati prima di essere elencati sulla piattaforma, in particolare per garantire che la funzione di reentranza non sia possibile.
Quale impatto per i protocolli?
Attualmente, sembra impossibile recuperare i fondi. Infatti, i fondi sono già passati attraverso la mainnet e un rollback non è più possibile, anche se gli smart contract interessati sono stati rapidamente messi in pausa. Inoltre, una parte dei fondi è già passata attraverso il frullatore Tornado Cash, limitando fortemente la possibilità di rintracciare i fondi.
Poiché le indagini sono ancora in corso, non sappiamo ancora se sono previste misure di rimborso da parte delle varie squadre.
Per quanto riguarda i token legati ai due protocolli, il token Hundred Finance (HND) non è stato realmente colpito, in quanto era già in una tendenza al ribasso dall’inizio di febbraio.
Tuttavia, il token Agave, AGVE, ha visto una chiara rottura da 69,5 dollari agli attuali 53,2 dollari.
7 day AGVE token price
