Trzy włamania do systemów zdecentralizowanych finansów (DeFi) w ciągu jednego dnia. Po Deus Finance to właśnie protokoły Agave i Hundred padły ofiarą kradzieży o wartości ponad 11 milionów dolarów. Dochodzenie nadal trwa i nie wiemy, czy planowany jest zwrot pieniędzy dla poszkodowanych użytkowników.
Hack on Agave and Hundred Finance
Ciężki dzień dla zdecentralizowanych finansów (DeFi): protokoły Hundred Finance i Agave zostały wykorzystane, wkrótce po włamaniu do Deus Finance, które miało miejsce wcześniej tego samego dnia.
Niestety Hundred i Agave zostały dziś wykorzystane w łańcuchu Gnosis. Zespół Gnosis jest świadomy, śledztwo jest w toku.
Wszystkie rynki Setki na wszystkich łańcuchach zostały na razie wstrzymane.
Są to dwie transakcje:
Setka https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) Marzec 15, 2022
W sumie haker skradł ponad 11 milionów dolarów z łańcucha Gnosis (xDai). Kradzież była możliwa dzięki funkcji wprowadzonej w jednym z wdrożonych kontraktów, która umożliwiała złodziejowi pożyczenie pieniędzy, zanim protokoły zdążyły je zrealizować. Jest to powszechnie określane mianem „ataku reentrycznego”, który niestety jest dość częstą formą exploita.
Usterka bezpośrednio w jednym z tokenów
Haker początkowo zdeponował równowartość 2 milionów dolarów w ramach zabezpieczenia w postaci pożyczki błyskawicznej, a następnie ukradł około 1,5 miliona dolarów z kilku różnych tokenów i, jeszcze zanim protokół obliczył stosunek pożyczki do wartości, był w stanie powtórzyć tę czynność kilka razy. W związku z tym pożyczona kwota była wyższa niż kwota zdeponowana w ramach zabezpieczenia, co uniemożliwiło protokołowi likwidację pozycji.
Na koniec osoba ta przerywała działanie exploita za pomocą funkcji „liquidationCall”, co pozwalało jej odejść ze skradzionymi środkami po spłaceniu pierwszej pożyczki.
Zdaniem wielu analityków, Agave i Hundred Finance, będące odpowiednio rozwinięciami Aave i Compound, nie mają sobie nic do zarzucenia, jeśli chodzi o ich wewnętrzny kod. W rzeczywistości mówi się, że usterka pochodzi bezpośrednio z tokenów z problemami bezpieczeństwa, które umożliwiły działanie funkcji „reentrancji”.
Należy zauważyć, że Aave nie musi się obawiać, że spotka ją ten sam los, ponieważ wszystkie tokeny są dokładnie badane przed wprowadzeniem na platformę, w szczególności w celu zapewnienia, że funkcja reentrancji nie jest możliwa.
Jaki wpływ na protokoły?
Obecnie odzyskanie środków wydaje się niemożliwe. W istocie środki te przeszły już przez mainnet i wycofanie ich nie jest już możliwe, choć inteligentne kontrakty, których to dotyczy, zostały szybko wstrzymane. Co więcej, część środków przeszła już przez blendera gotówkowego Tornado, co znacznie ogranicza możliwość śledzenia tych środków.
Ponieważ dochodzenia są nadal w toku, nie wiemy jeszcze, czy poszczególne zespoły przewidują zwrot kosztów.
Jeśli chodzi o tokeny związane z tymi dwoma protokołami, to token Hundred Finance (HND) nie miał większego wpływu, ponieważ już od początku lutego znajdował się w trendzie spadkowym.
Jednak w przypadku tokena Agave, AGVE, nastąpiło wyraźne przebicie z poziomu 69,5 USD do obecnego poziomu 53,2 USD.
7-dniowa cena tokena AGVE
