Agave و Hundred Finance در حالی که تحقیقات در مورد بهره برداری ادامه دارد، فعالیت خود را متوقف کرده اند.
یک هکر پس از استفاده از یک “ورود مجدد” با حدود 11 میلیون دلار ETH پیچیده شده (wETH)، BTC (wBTC)، Chainlink (LINK)، کوین USDC (USDC)، Gnosis (GNO) و XDAI (wxDAI) درآمد کسب کرده است. حمله به برنامه های پروتکل وام دهی مالی غیرمتمرکز (DeFi) Agave و Hundred Finance.
این حمله در عرض 24 ساعت پس از انتشار اخبار سوء استفاده Deus Finance رخ می دهد، جایی که هکرها بیش از 3 میلیون دلار در Dai (DAI) و Ether (ETH) را از پلت فرم قرارداد وام به سرقت بردند.
بر اساس داده های CoinGecko، توکن Agave AGVE پس از حمله 20 درصد کاهش یافت. توکن صد فاینانس HND پس از اعلام بهره برداری 3.5 درصد سقوط کرد. با این حال، از آن زمان بهبود یافته و به بالاترین حد 24 ساعته رسیده است.
آگاو روز سه شنبه در توییتی نوشت: “آگاو در حال حاضر در حال بررسی یک سوء استفاده از پروتکل مالی آگاو است.” “به محض اینکه بیشتر بدانیم شما را به روز خواهیم کرد.” وی خاطرنشان کرد: قراردادها تا حل و فصل این وضعیت متوقف شده است.
تیم صد فاینانس همچنین در توییتی اعلام کرد که در زنجیره Gnosis مورد سوء استفاده قرار گرفته و بازارهای خود را در حین پیگیری تحقیقات متوقف کرده است.
بر اساس تجزیه و تحلیل زنجیره ای، آدرس مرتبط با مهاجم بیش از 2100 ETH به ارزش بیش از 5.5 میلیون دلار را به یک میکسر رمزنگاری در تلاش برای شستشوی توکن های سرقت شده ارسال کرده است.
توسعهدهنده Solidity و خالق یک برنامه پروتکل نقدینگی NFT Shegen (@shegenerates)، در توییتی اعلام کرد که 225000 دلار در این سوء استفاده از دست داده است. بررسیهای او نشان داد که این حمله با بهرهبرداری از تابع قرارداد wETH در Gnosis Chain انجام شده است و به مهاجم اجازه میدهد تا قبل از اینکه اپلیکیشنها بتوانند بدهی را محاسبه کنند و از استقراض بیشتر جلوگیری کنند، به قرض گرفتن رمزارز ادامه دهد.
مهاجم این اکسپلویت را اجرا کرد و به طور مداوم در برابر همان وثیقه ای که پست می کردند وام گرفت تا زمانی که وجوه از پروتکل ها تخلیه شد.
شگن به کوین تلگراف گفت که در حالی که قرارداد هوشمند آگاو اساساً مشابه Aave است که 18.4 میلیارد دلار تضمین می کند، او گفت: «هر محقق امنیتی آن را حسابرسی کرده است». بنابراین منطقی است که فرض کنیم قرارداد امن است.
شگن گفت: «فکر میکنم این هک بیشتر از برخی از هکهای بزرگتر متمایز است. و این شکست اعتماد صدمه می زند.»
مثل این است که حتی نمیتوانید به کد «ایمن» اعتماد کنید.»
مودیت گوپتا، محقق امنیت بلاک چین، می گوید تفاوت بین Aave و Agave در این است که “Aave قبل از فهرست کردن توکن ها در شبکه اصلی، فعالانه ورود مجدد را بررسی می کند تا از حملات مشابه جلوگیری کند.”
شگن اظهار داشت که توسعه دهندگان Agave را به خاطر شکست در جلوگیری از حمله سرزنش نمی کند.
او گفت: “آگاو به روشی ناامن استفاده شد.” «شاید توسعهدهنده نباید اجازه میداد توکنهایی با تماسهای برگشتی در آنها در پلتفرم استفاده شوند، یا محافظهای بیشتری برای ورود مجدد اضافه کنند.»
به عنوان مثال، Curve امروز هک نشد، زیرا دارای محافظهای اضافی برای ورود مجدد است، اما من واقعاً لوئیگی و تیم آگاو را سرزنش نمیکنم زیرا بعید است که چنین اتفاقی بیفتد و از جلوی افراد زیادی عبور کرده باشد. ”
شیگن همچنین Gnosis را به دلیل ایجاد توکنهایی با عملکرد برگشتی که هکر از آن سوء استفاده کرده است سرزنش نکرد و گفت که این ویژگی باعث میشود کاربران بهطور تصادفی رمزنگاری خود را از دست ندهند.
“این در واقع یک ویژگی عالی برای توکن های پل شده است، به نظر من فقط یک شرایط واقعا تاسف بار و بدشانس است.”