Drie hacks op dezelfde dag voor gedecentraliseerde financiën (DeFi). Na Deus Finance zijn het immers de protocollen Agave en Hundred die het slachtoffer zijn geworden van een diefstal die overeenkomt met meer dan 11 miljoen dollar. Het onderzoek is nog gaande en we weten nog niet of een terugbetaling voor de getroffen gebruikers is gepland.
Hack on Agave and Hundred Finance
Moeilijke dag voor gedecentraliseerde financiën (DeFi): Hundred Finance en Agave protocollen hebben beide een exploit, kort na de Deus Finance hack eerder op de dag.
Helaas zijn Hundred en Agave allebei uitgebuit in de Gnosis keten vandaag. Gnosis team is op de hoogte, onderzoek is gaande.
Alle Honderd markten op alle ketens zijn voorlopig gepauzeerd.
Dit zijn de twee transacties:
Hundred https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) Maart 15, 2022
In totaal heeft de hacker meer dan 11 miljoen dollar gestolen van de Gnosis-keten (xDai). De diefstal werd mogelijk gemaakt door een functie die was ingevoerd in een van de ingezette contracten, waardoor de dief geld kon lenen voordat de protocollen het zelfs maar konden realiseren. Dit wordt meestal een “reentrancy aanval” genoemd, wat helaas een vrij veel voorkomende vorm van misbruik is.
Een fout direct in een van de lopers
De hacker stortte aanvankelijk het equivalent van $ 2 miljoen aan onderpand via een flitslening, voordat hij ongeveer $ 1,5 miljoen stal van verschillende tokens en, zelfs voordat het protocol de verhouding tussen lenen en uitlenen berekende, was hij in staat om de actie meerdere keren te herhalen. Het geleende bedrag was dus groter dan het in onderpand gegeven bedrag, waardoor het protocol zijn positie niet kon vereffenen.
Tenslotte beëindigde het individu de exploitatie via de “liquidationCall” functie, waardoor hij kon weglopen met de gestolen fondsen nadat hij de eerste initiële lening had terugbetaald.
Volgens verschillende analisten hebben Agave en Hundred Finance, respectievelijk vorken van Aave en Compound, niets te wijten aan hun interne code. In feite zou de fout rechtstreeks komen van tokens met beveiligingsproblemen, die deze “reentrancy” functie mogelijk hebben gemaakt.
Merk op dat Aave zich geen zorgen hoeft te maken over hetzelfde lot, aangezien alle tokens zorgvuldig worden bestudeerd voordat ze op het platform worden genoteerd, met name om ervoor te zorgen dat de reentrancy-functie niet mogelijk is.
Wat zijn de gevolgen voor protocollen?
Op dit moment lijkt het onmogelijk om fondsen terug te krijgen. De fondsen zijn immers al door het mainnet gegaan en een rollback is niet meer mogelijk, hoewel de betrokken smart contracts snel werden gepauzeerd. Bovendien is een deel van de middelen reeds door de Tornado Cash blender gepasseerd, waardoor de mogelijkheid om de middelen te traceren ernstig wordt beperkt.
Aangezien het onderzoek nog niet is afgerond, weten wij nog niet of de verschillende teams voornemens zijn terugbetalingsmaatregelen te treffen.
Wat betreft de tokens die gerelateerd zijn aan de twee protocollen, werd het Hundred Finance (HND) token niet echt beïnvloed, omdat het zich al in een neerwaartse trend bevond sinds begin februari.
Het Agave token, AGVE, heeft echter een duidelijke breuk gezien van $69,5 naar de huidige $53,2.
7 day AGVE token price
