پروتکل‌های «بدشانس:» Agave و Hundred Finance DeFi با قیمت ۱۱ میلیون دلار مورد سوء استفاده قرار گرفتند.

Agave و Hundred Finance در حالی که تحقیقات در مورد بهره برداری ادامه دارد، فعالیت خود را متوقف کرده اند.

یک هکر پس از استفاده از یک “ورود مجدد” با حدود 11 میلیون دلار ETH پیچیده شده (wETH)، BTC (wBTC)، Chainlink (LINK)، کوین USDC (USDC)، Gnosis (GNO) و XDAI (wxDAI) درآمد کسب کرده است. حمله به برنامه های پروتکل وام دهی مالی غیرمتمرکز (DeFi) Agave و Hundred Finance.

این حمله در عرض 24 ساعت پس از انتشار اخبار سوء استفاده Deus Finance رخ می دهد، جایی که هکرها بیش از 3 میلیون دلار در Dai (DAI) و Ether (ETH) را از پلت فرم قرارداد وام به سرقت بردند.

بر اساس داده های CoinGecko، توکن Agave AGVE پس از حمله 20 درصد کاهش یافت. توکن صد فاینانس HND پس از اعلام بهره برداری 3.5 درصد سقوط کرد. با این حال، از آن زمان بهبود یافته و به بالاترین حد 24 ساعته رسیده است.

آگاو روز سه شنبه در توییتی نوشت: “آگاو در حال حاضر در حال بررسی یک سوء استفاده از پروتکل مالی آگاو است.” “به محض اینکه بیشتر بدانیم شما را به روز خواهیم کرد.” وی خاطرنشان کرد: قراردادها تا حل و فصل این وضعیت متوقف شده است.

تیم صد فاینانس همچنین در توییتی اعلام کرد که در زنجیره Gnosis مورد سوء استفاده قرار گرفته و بازارهای خود را در حین پیگیری تحقیقات متوقف کرده است.

بر اساس تجزیه و تحلیل زنجیره ای، آدرس مرتبط با مهاجم بیش از 2100 ETH به ارزش بیش از 5.5 میلیون دلار را به یک میکسر رمزنگاری در تلاش برای شستشوی توکن های سرقت شده ارسال کرده است.

توسعه‌دهنده Solidity و خالق یک برنامه پروتکل نقدینگی NFT Shegen (@shegenerates)، در توییتی اعلام کرد که 225000 دلار در این سوء استفاده از دست داده است. بررسی‌های او نشان داد که این حمله با بهره‌برداری از تابع قرارداد wETH در Gnosis Chain انجام شده است و به مهاجم اجازه می‌دهد تا قبل از اینکه اپلیکیشن‌ها بتوانند بدهی را محاسبه کنند و از استقراض بیشتر جلوگیری کنند، به قرض گرفتن رمزارز ادامه دهد.

مهاجم این اکسپلویت را اجرا کرد و به طور مداوم در برابر همان وثیقه ای که پست می کردند وام گرفت تا زمانی که وجوه از پروتکل ها تخلیه شد.

شگن به کوین تلگراف گفت که در حالی که قرارداد هوشمند آگاو اساساً مشابه Aave است که 18.4 میلیارد دلار تضمین می کند، او گفت: «هر محقق امنیتی آن را حسابرسی کرده است». بنابراین منطقی است که فرض کنیم قرارداد امن است.

شگن گفت: «فکر می‌کنم این هک بیشتر از برخی از هک‌های بزرگ‌تر متمایز است. و این شکست اعتماد صدمه می زند.»

مثل این است که حتی نمی‌توانید به کد «ایمن» اعتماد کنید.»

مودیت گوپتا، محقق امنیت بلاک چین، می گوید تفاوت بین Aave و Agave در این است که “Aave قبل از فهرست کردن توکن ها در شبکه اصلی، فعالانه ورود مجدد را بررسی می کند تا از حملات مشابه جلوگیری کند.”

شگن اظهار داشت که توسعه دهندگان Agave را به خاطر شکست در جلوگیری از حمله سرزنش نمی کند.

او گفت: “آگاو به روشی ناامن استفاده شد.” «شاید توسعه‌دهنده نباید اجازه می‌داد توکن‌هایی با تماس‌های برگشتی در آن‌ها در پلتفرم استفاده شوند، یا محافظ‌های بیشتری برای ورود مجدد اضافه کنند.»

به عنوان مثال، Curve امروز هک نشد، زیرا دارای محافظ‌های اضافی برای ورود مجدد است، اما من واقعاً لوئیگی و تیم آگاو را سرزنش نمی‌کنم زیرا بعید است که چنین اتفاقی بیفتد و از جلوی افراد زیادی عبور کرده باشد. ”

شیگن همچنین Gnosis را به دلیل ایجاد توکن‌هایی با عملکرد برگشتی که هکر از آن سوء استفاده کرده است سرزنش نکرد و گفت که این ویژگی باعث می‌شود کاربران به‌طور تصادفی رمزنگاری خود را از دست ندهند.

“این در واقع یک ویژگی عالی برای توکن های پل شده است، به نظر من فقط یک شرایط واقعا تاسف بار و بدشانس است.”