Protokoły Agave i Hundred Finance zhackowane na 11 mln dolarów
Hacki w świecie DeFi to już codzienność. Tym razem jednak zhackowano nie jeden protokół, a dwa na raz – Agave i Hundred Finance. Napastnik przeprowadził ataki typu “re-entrancy”, dzięki czemu udało mu się zgarnąć łup warty 11 milionów dolarów w postaci wETH, wBTC, LINK, USDC, Gnosis i wXDAI.
Czym jest atak re-entrancy?
Według danych dostępnych na Tenderly, w obu przypadkach hakerzy wykorzystali błąd re-entrancy. Dla niewtajemniczonych, “re-entrancy” jest luką w języku programowania Solidity, która umożliwia oszukanie smart kontraktu protokołu, tak aby ten połączył się z zewnętrznym niezaufanym kontraktem. Po przejęciu nad nim kontroli, napastnik może wykonywać rekurencyjne odwołania do oryginalnej funkcji i w ten sposób wydrenować fundusze.
Ekspert ds. bezpieczeństwa blockchaina, Mudit Gupta, odkrył, że w tym konkretnym przypadku głównym problemem były oficjalne “zmostowane” tokeny na łańcuchu Gnosis. Stwierdził, że są one “niestandardowe i mają haczyk, który wywołuje odbiorcę tokena przy każdym przelewie”, a to właśnie umożliwia przeprowadzanie ataków re-entrancy.
Agave and Hundred Finance were exploited today on Gnosis chain (formerly xDAI).
The underlying reason for the hack is that the official bridged tokens on Gnosis are non-standard and have a hook that calls the token receiver on every transfer. This enables reentrancy attacks. pic.twitter.com/8MU8Pi9RQT
— Mudit Gupta (@Mudit__Gupta) March 15, 2022
Forki Aave i Compound
Agave jest forkiem platformy pożyczkowej Aave, podczas gdy Hundred Finance, jest forkiem Compound. Gupta stwierdził również, że Compound nie stosuje zalecanego wzorca checks-effects-interactions, mimo że się na niego powołuje.
Hundred Finance is a fork of Compound and apparently compound does not follow the recommended checks-effects-interactions pattern even though it refers to it.
The code executes interactions before applying the effects which make the reentrancy attacks impactful. pic.twitter.com/qbiZAV0Wpx
— Mudit Gupta (@Mudit__Gupta) March 15, 2022
Według specjalisty, ataki re-entrancy stają się coraz bardziej niebezpieczne, ponieważ “kod wykonuje interakcje przed zastosowaniem efektów”.
The agave and hundred protocol teams messed up by listing a token that can reenter. Aave and compound governance actively check for reentrancy before listing tokens on the mainnet to avoid similar attacks.
— Mudit Gupta (@Mudit__Gupta) March 15, 2022
W sierpniu zeszłego roku ofiara takiego samego ataku padł inny projekt, którego kod jest podobny do kodu Compound – Cream Finance.
Bitcoina i inne kryptowaluty kupisz w prosty i bezpieczny sposób na giełdzie zondacrypto.
Newsletter Bitcoin.pl
Więcej niż bitcoin i kryptowaluty. Najważniejsze newsy i insiderskie informacje prosto na Twój email.
Dbamy o ochronę Twoich danych. Przeczytaj naszą Politykę Prywatności