Protokoły Agave i Hundred Finance zhackowane na 11 mln dolarów

Hacki w świecie DeFi to już codzienność. Tym razem jednak zhackowano nie jeden protokół, a dwa na raz – Agave i Hundred Finance. Napastnik przeprowadził ataki typu “re-entrancy”, dzięki czemu udało mu się zgarnąć łup warty 11 milionów dolarów w postaci wETH, wBTC, LINK, USDC, Gnosis i wXDAI.

Czym jest atak re-entrancy?

Według danych dostępnych na Tenderly, w obu przypadkach hakerzy wykorzystali błąd re-entrancy. Dla niewtajemniczonych, “re-entrancy” jest luką w języku programowania Solidity, która umożliwia oszukanie smart kontraktu protokołu, tak aby ten połączył się z zewnętrznym niezaufanym kontraktem. Po przejęciu nad nim kontroli, napastnik może wykonywać rekurencyjne odwołania do oryginalnej funkcji i w ten sposób wydrenować fundusze.

Ekspert ds. bezpieczeństwa blockchaina, Mudit Gupta, odkrył, że w tym konkretnym przypadku głównym problemem były oficjalne “zmostowane” tokeny na łańcuchu Gnosis. Stwierdził, że są one “niestandardowe i mają haczyk, który wywołuje odbiorcę tokena przy każdym przelewie”, a to właśnie umożliwia przeprowadzanie ataków re-entrancy.

Agave and Hundred Finance were exploited today on Gnosis chain (formerly xDAI).

The underlying reason for the hack is that the official bridged tokens on Gnosis are non-standard and have a hook that calls the token receiver on every transfer. This enables reentrancy attacks. pic.twitter.com/8MU8Pi9RQT

— Mudit Gupta (@Mudit__Gupta) March 15, 2022

Forki Aave i Compound

Agave jest forkiem platformy pożyczkowej Aave, podczas gdy Hundred Finance, jest forkiem Compound. Gupta stwierdził również, że Compound nie stosuje zalecanego wzorca checks-effects-interactions, mimo że się na niego powołuje.

Hundred Finance is a fork of Compound and apparently compound does not follow the recommended checks-effects-interactions pattern even though it refers to it.

The code executes interactions before applying the effects which make the reentrancy attacks impactful. pic.twitter.com/qbiZAV0Wpx

— Mudit Gupta (@Mudit__Gupta) March 15, 2022

Według specjalisty, ataki re-entrancy stają się coraz bardziej niebezpieczne, ponieważ “kod wykonuje interakcje przed zastosowaniem efektów”.

The agave and hundred protocol teams messed up by listing a token that can reenter. Aave and compound governance actively check for reentrancy before listing tokens on the mainnet to avoid similar attacks.

— Mudit Gupta (@Mudit__Gupta) March 15, 2022

W sierpniu zeszłego roku ofiara takiego samego ataku padł inny projekt, którego kod jest podobny do kodu Compound – Cream Finance.