分散型金融(DeFi)のハッキングが同じ日に3件も発生。実際、Deus Financeに続いて、AgaveとHundredのプロトコルが1100万ドル以上に相当する盗難に遭っている。現在も調査は続いており、対象となるユーザーへの返金が予定されているかどうかはまだわかりません。
アガベと百戦錬磨の金融をハックする
。
分散型金融(DeFi)にとって厳しい一日:Hundred Finance と Agave プロトコルが共に悪用され、Deus Finance がその日のうちにハッキングされた直後に発生。
残念ながらHundredとAgaveは今日Gnosis chainで悪用されました。グノーシス・チームは認識しており、調査は進行中です。
全チェーンのHundredマーケットが一旦停止。
この2つの取引です。
百聞は一見にしかず https://t.co/mdtViohijn
アガベhttps://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) March 15, 2022
。
ハッカーによってグノーシス・チェーン(xDai)から合計1100万ドル以上が盗まれたのです。この盗難は、展開された契約の1つに導入された機能によって可能になったもので、プロトコルが実現する前に泥棒がお金を借りることができたのだ。これは一般的に「リエントランシー攻撃」と呼ばれ、残念ながらかなり一般的な悪用方法です。
トークンの1つに直接欠陥がある
。
ハッカーは当初、フラッシュローンで200万ドル相当の担保を預けた後、複数の異なるトークンから約150万ドルを盗み、プロトコルが借入比率を計算する前から、その行為を数回繰り返すことができました。そのため、借入額が担保として預けた金額を上回り、プロトコルのポジションを清算することができなくなった。
最後に、「liquidationCall」機能で悪用を終了させ、最初の融資を返済した後、盗まれた資金を持ち去ることができました。
複数のアナリストによると、AaveとCompoundのフォークであるAgaveとHundred Financeは、それぞれ内部コードに何の非もないとのこと。実はこの欠陥は、セキュリティに問題のあるトークンが、この「リエントランシー」機能を有効にしたことが直接の原因だと言われています。
なお、Aaveは、プラットフォームに掲載される前に、すべてのトークンを慎重に調査し、特にリエントランシー機能が不可能であることを確認しているので、同じ運命を辿る心配はない。
プロトコルに与える影響とは?
現状、資金回収は不可能と思われます。実際、資金はすでにメインネットを通過しており、ロールバックはもはや不可能ですが、当該スマートコントラクトはすぐに一時停止されました。さらに、資金の一部はすでにトルネード・キャッシュミキサーを通過しているため、資金を追跡する可能性は著しく制限される。
現在も調査が続いているため、各チームが何らかの弁済を行うことを想定しているかどうかは、まだわかりません。
2つのプロトコルに関連するトークンについては、百貨(HND)トークンは、すでに2月初旬から下落傾向にあったため、あまり影響を受けなかった。
しかし、アガベトークンであるAGVEは、69.5ドルから現在の53.2ドルへと明確にブレークしている。