15. märtsil ründaja sifoonitud kahelt üle 11 miljoni dollari Defi platvormid, Agave ja Sada rahandust. See näis olevat kiirlaenu rünnak mõlema protokolli vastu Gnoosi kett vastavalt uurimisele. Samuti peatasid platvormid oma lepingud, et vältida edasisi kahjusid.
Kahju hindamine
Solidity arendaja ja looja an NFT likviidsusprotokolli rakendus, Shegen otsustas häkkimise 16. märtsil säutsudes esile tõsta. Üllataval kombel tuli see analüüs pärast seda, kui eelnimetatud üksus kaotas sama toiminguga 225,000 XNUMX dollarit.
Seal on juba mõned head lõimed (ja mõned halvad, mis rääkisid liiga vara) juba ilmunud @Agave_laenutamine ja @HundredFinance häkid täna.
Siin on minu analüüs ja mõtisklus pärast seda, kui olin kaotanud ärakasutamise tõttu üle 225 XNUMX dollari ja uurisin, mis juhtus?
— Shegen (@shegenerates) Märtsil 15, 2022
Tema esialgne uurimine näitas, et rünnak kasutas WETH-i lepingu funktsiooni Gnosis Chainil. See võimaldas ründajal jätkata krüpto laenamist enne, kui rakendused jõudsid võla arvutada, mis takistaks edasist laenamist. Seega sooritas süüdlane nimetatud ärakasutamist, laenates sama tagatise eest, mille nad esitasid, kuni protokollidest kulus raha.
Asja hullemaks tegi see, et rahalised vahendid ei olnud turvalised. "Need on peaaegu igaveseks kadunud, kuid lootust on veel," ta lisatud. Sellegipoolest säutsus Gnoosi asutaja Martin Koppelmann, et tuua keset kaost kindlustunnet. Koppelmann kinnitas,
ei saa lubadusi anda ja kõigepealt peaksime juhtunust tõeliselt aru saama. Kuid üldiselt toetaksin GnosisDAO ettepanekut, mis üritaks takistada kasutajatel raha kaotamast, nt raha laenates / raha investeerides @Agave_laenutamine
— Martin Köppelmann ?? (@koeppelmann) Märtsil 15, 2022
Pärast mõningaid täiendavaid uuringuid kasutas ründaja väidetavalt selle lepingu kolme funktsiooniga; Plokkides 3 ja 21120283 kasutas häkker lepingut mõjutatud protokolliga Agave otse suhtlemiseks. Agave nutikas leping oli sisuliselt sama, mis Aavel, mis tagas 21120284 miljardit dollarit.
Kuna sissemurdmisest ei teatatud KUMMISTUS, kuidas saaks agaavi nõrutada? Noh, siin on a kokkuvõte kuidas seda "tahtmatult" ebaturvaliselt kasutati.
Weth-leping rakendati esimest korda, kui keegi kolis GC-sse. Iga kord, kui tood uue märgi üle silla, luuakse selle jaoks uus märgileping.
CallAfterTransfer funktsioon aitab vältida žetoonide saatmist otse sillale ja nende igaveseks kaotamist pic.twitter.com/ZiAZAcTtSI
— Shegen (@shegenerates) Märtsil 15, 2022
Nimetatud häkker suutis laenata rohkem kui nende agaavi tagatis. Seega kõndides minema kogu laenatava varaga.
Laenatud varad koosnesid 2,728.9 WETH-st, 243,423 24,563 USDC-st, 16.76 8,400 LINK-ist, 347,787 WBTC-st, 11 GNO-st ja XNUMX XNUMX WXDAI-st. Üldiselt teenis häkker umbes XNUMX miljonit dollarit.
Sellegipoolest ei süüdistanud Shegen Agave arendajaid selles, et nad ei suutnud rünnakut ära hoida. Ta ütles, et arendajad kasutasid turvalist ja turvalist AAVE-põhist koodi. Kuigi Kasutatud ebaturvaliste märkidega, ebaturvalisel viisil.
"Kõik GC DeFi-protokollid peaksid olemasolevad sillatud märgid uute vastu välja vahetama," järeldas ta.
Blockchaini turvateadlane Mudit Gupta kordas ärakasutamise taga on sarnane põhjus.
Agave ja Hundred Finance kasutati täna Gnoosi ketis (endine xDAI).
Häkkimise põhjuseks on see, et Gnose ametlikud sillatud märgid on ebastandardsed ja neil on konks, mis kutsub iga ülekande korral märgi vastuvõtjat. See võimaldab taastumisrünnakuid. pic.twitter.com/8MU8Pi9RQT
- Mudit Gupta (@Mudit__Gupta) Märtsil 15, 2022
Allikas: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/