15. марта нападач сифонирао преко 11 милиона долара од два дефи платформе, агава Сто финансија. Чинило се да се ради о „нападу на поновни улазак“ зајма на оба протокола Ланац гнозе према истрази. Исто тако, платформе су обуставиле своје уговоре да би спречиле даљу штету.
Процена штете
Солидити програмер и креатор ан NFT апликација за протокол ликвидности, Схеген је одлучио да истакне хак у серији твитова 16. марта. Изненађујуће, ова анализа је уследила након што је поменути ентитет изгубио 225,000 долара у истом подвигу.
Већ је било неколико добрих тема (и неких лоших које су проговориле прерано) на @Агаве_лендинг @ХундредФинанце хацкс данас.
Ево моје анализе и размишљања, након што сам управо изгубио преко 225 хиљада долара од експлоатације и истражио шта се догодило?
— Шеген (@схегенератес) Март КСНУМКС, КСНУМКС
Њене прелиминарне истраге су откриле да је напад функционисао коришћењем функције уговора ВЕТХ на Гносис Цхаин-у. То је омогућило нападачу да настави да позајмљује криптовалуте пре него што апликације могу да израчунају дуг, што би спречило даље задуживање. Дакле, кривац је извршио поменути експлоат позајмљујући се уз исти колатерал који су дали све док се средства не испразне из протокола.
Да ствари буду још горе, средства нису била сигурна. „Они су скоро заувек нестали, али још има наде“, она додао. Уз то, оснивач Гносиса, Мартин Копелман је твитовао како би унео извесност усред хаоса. Копелман је тврдио,
не могу да дају никаква обећања, и прво треба да разумемо шта се догодило. Али генерално бих подржао предлог ГносисДАО који би покушао да спречи кориснике да изгубе средства нпр. позајмљивањем средстава/улагањем средстава у @Агаве_лендинг
— Мартин Коппелманн ?? (@коеппелманн) Март КСНУМКС, КСНУМКС
Након неког даљег истраживања, нападач је наводно применио овај уговор са 3 функције; У блоковима 21120283 и 21120284, хакер је користио уговор за директну интеракцију са погођеним протоколом, Агаве. Паметни уговор за Агаве био је у суштини исти као и Ааве, који је обезбедио 18.4 милијарде долара.
Пошто није било пријављених експлоатација у AAVE, како се Агава може исушити? Па, ево а резиме о томе како је коришћен на небезбедан начин „ненамерно“.
Ветх уговор је распоређен када је неко први пут преселио ветх у ГЦ. Сваки пут када донесете нови токен преко моста, за њега се креира нови уговор о токену.
ЦаллАфтерТрансфер функција вам помаже да спречите да шаљете токене директно на мост и да их заувек изгубите пиц.твиттер.цом/ЗиАЗАцТтСИ
— Шеген (@схегенератес) Март КСНУМКС, КСНУМКС
Поменути хакер је могао да позајми више од свог колатерала у агави. На тај начин, одлази са свим позајмљеним средствима.
Извор: Twitter
Позајмљена средства су се састојала од 2,728.9 ВЕТХ, 243,423 УСДЦ, 24,563 ЛИНК, 16.76 ВБТЦ, 8,400 ГНО и 347,787 ВКСДАИ. Све у свему, хакер је однео око 11 милиона долара.
Ипак, Шеген није кривио програмере Агаве што нису успели да спрече напад. Рекла је да су програмери водили сигуран и безбедан код заснован на ААВЕ-у. Мада полован са несигурним токенима, на небезбедан начин.
„Сви ДеФи протоколи на ГЦ-у би требало да замене постојеће премоштене токене за нове“, закључила је она.
Истраживач Блоцкцхаин безбедности Мудит Гупта поновио сличан узрок подвига.
Агаве и Хундред Финанце су данас експлоатисани на ланцу Гносис (раније кДАИ).
Основни разлог хаковања је тај што су званични премоштени токени на Гносису нестандардни и имају куку која позива примаоца токена при сваком преносу. Ово омогућава поновни улазак. пиц.твиттер.цом/8МУ8Пи9РКТ
- Мудит Гупта (@Мудит__Гупта) Март КСНУМКС, КСНУМКС
Извор: хттпс://амбцрипто.цом/хов-тхесе-тво-дефи-протоцолс-фелл-преи-то-11-миллион-реентранци-аттацк/