Em 15 de março, um atacante sifonado mais de US$ 11 milhões de dois DeFi plataformas, Agave e Cem Finanças. Parecia ser um 'ataque de reentrada' de empréstimo em flash em ambos os protocolos no Cadeia de Gnose conforme investigação. Da mesma forma, as plataformas interromperam seus contratos para evitar mais danos.
Avaliando o dano
Desenvolvedor do Solidity e criador de um NFT aplicativo de protocolo de liquidez, Shegen escolheu destacar o hack em uma série de tweets em 16 de março. Surpreendentemente, essa análise veio depois que a entidade mencionada perdeu US$ 225,000 na mesma exploração.
Já houve alguns bons tópicos (e alguns ruins que falaram cedo demais) no @Agave_lending e @HundredFinance hack hoje.
Aqui está minha análise e reflexão, depois de ter perdido mais de $ 225 com o exploit e explorado o que aconteceu?
-Shegen (@shegenerates) 15 de março de 2022
Suas investigações preliminares revelaram que o ataque funcionou explorando uma função de contrato wETH na Gnosis Chain. Isso permitiu que o invasor continuasse emprestando criptomoedas antes que os aplicativos pudessem calcular a dívida, o que impediria mais empréstimos. Portanto, o culpado realizou a referida exploração emprestando contra a mesma garantia que eles depositaram até que os fundos fossem drenados dos protocolos.
Para piorar as coisas, os fundos não estavam seguros. "Eles se foram para sempre, mas ainda há esperança", ela adicionado. Dito isso, o fundador da Gnosis, Martin Koppelmann, tuitou para trazer alguma certeza em meio ao caos. Koppelmann afirmou,
não podemos fazer promessas, e primeiro devemos realmente entender o que aconteceu. Mas eu geralmente apoiaria uma proposta do GnosisDAO que tentaria evitar que os usuários perdessem fundos, por exemplo, emprestando fundos/investindo fundos em @Agave_lending
— Martin Köppelmann ?? (@koeppelmann) 15 de março de 2022
Após algumas pesquisas adicionais, o invasor supostamente implantou este contrato com 3 funções; Nos blocos 21120283 e 21120284, o hacker utilizou o contrato para interagir diretamente com o protocolo afetado, o Agave. O contrato inteligente da Agave era essencialmente o mesmo da Aave, que garantiu US$ 18.4 bilhões.
Como não houve exploração relatada em AAVE, como o Agave pode ser drenado? Bem, aqui está um resumo de como foi usado de forma insegura “sem querer”.
O contrato da Weth foi implantado na primeira vez que alguém se mudou para a GC. Toda vez que você traz um novo token pela ponte, um novo contrato de token é criado para ele.
A função callAfterTransfer ajuda a evitar que você envie tokens diretamente para a ponte e os perca para sempre pic.twitter.com/ZiAZAcTtSI
-Shegen (@shegenerates) 15 de março de 2022
O referido hacker conseguiu emprestar mais do que sua garantia em agave. Assim, indo embora com todos os ativos emprestáveis.
Os ativos emprestados compreendem 2,728.9 WETH, 243,423 USDC, 24,563 LINK, 16.76 WBTC, 8,400 GNO e 347,787 WXDAI. No geral, o hacker levou aproximadamente US$ 11 milhões.
No entanto, Shegen não culpou os desenvolvedores do Agave por não terem impedido o ataque. Ela disse que os desenvolvedores executaram um código baseado em AAVE seguro e seguro. Apesar usava com tokens inseguros, de forma insegura.
“Todos os protocolos DeFi no GC devem trocar os tokens em ponte existentes por novos”, concluiu ela.
Pesquisador de segurança Blockchain Mudit Gupta reiterado uma causa semelhante por trás do exploit.
Agave e Hundred Finance foram explorados hoje na cadeia Gnosis (anteriormente xDAI).
A razão subjacente para o hack é que os tokens oficiais em ponte no Gnosis não são padrão e têm um gancho que chama o receptor de token em cada transferência. Isso permite ataques de reentrada. pic.twitter.com/8MU8Pi9RQT
- Mudit Gupta (@Mudit__Gupta) 15 de março de 2022
Fonte: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/