Три взлома в один день для децентрализованных финансов (DeFi). Действительно, после Deus Finance, именно протоколы Agave и Hundred пострадали от кражи, эквивалентной более 11 миллионам долларов. Расследование все еще продолжается, и мы пока не знаем, планируется ли возврат средств пострадавшим пользователям.
Хак на Агаве и Сто Финансов
Тяжелый день для децентрализованных финансов (DeFi): протоколы Hundred Finance и Agave подверглись эксплойту, вскоре после взлома Deus Finance ранее в тот же день.
К сожалению, Hundred и Agave сегодня эксплуатировались в сети Gnosis. Команда Gnosis в курсе, расследование продолжается.
Все рынки «Сотни» на всех цепочках пока приостановлены.
Это две транзакции:
Сотня https://t.co/mdtViohijn
Агава https://t.co/RKB5MVx0O4— Hundred Finance (@HundredFinance) 15 марта 2022
В общей сложности хакер украл более 11 миллионов долларов из сети Gnosis (xDai). Кража стала возможной благодаря функции, внедренной в один из развернутых контрактов, которая позволила вору занять деньги еще до того, как протоколы смогли их реализовать. Это обычно называют «атакой повторного проникновения», которая, к сожалению, является довольно распространенной формой эксплойта.
Дефект непосредственно в одном из токенов
Хакер сначала внес залог, эквивалентный 2 млн долларов, через флэш-кредит, затем украл около 1,5 млн долларов из нескольких разных токенов и, еще до того, как протокол рассчитал соотношение кредита к стоимости, смог повторить это действие несколько раз. Таким образом, сумма, взятая в долг, превышала сумму, внесенную в качестве залога, что не позволило протоколу ликвидировать свою позицию.
Наконец, человек завершал эксплуатацию с помощью функции «liquidationCall», что позволяло ему уйти с украденными средствами после выплаты первого первоначального займа.
По мнению ряда аналитиков, Agave и Hundred Finance, соответственно форки Aave и Compound, не в чем упрекнуть их внутренний код. На самом деле, как утверждается, недостаток исходит непосредственно от токенов с проблемами безопасности, которые включили эту функцию «reentrancy».
Отметим, что компании Aave не стоит беспокоиться о том, что ее постигнет та же участь, поскольку все токены тщательно изучаются перед размещением на платформе, в частности, чтобы убедиться в невозможности функции реентерабельности.
Какие последствия для протоколов?
В настоящее время возврат средств представляется невозможным. Действительно, средства уже прошли через сеть, и откат уже невозможен, хотя соответствующие смарт-контракты были быстро приостановлены. Более того, часть средств уже прошла через блендер Tornado Cash, что существенно ограничивает возможность отслеживания средств.
Поскольку расследование еще продолжается, мы пока не знаем, предусмотрены ли какие-либо меры по возмещению ущерба различными командами.
Что касается токенов, связанных с этими двумя протоколами, то токен Hundred Finance (HND) не подвергся серьезному влиянию, поскольку он уже находился в нисходящем тренде с начала февраля.
Однако токен Agave, AGVE, продемонстрировал явный прорыв с $69,5 до нынешних $53,2.
7-дневная цена токена AGVE
