15 Mart'ta bir saldırgan sifonlanmış iki kişiden 11 milyon doların üzerinde Defi platformlar, Agave ve Yüz Finans. Her iki protokole de flaş bir kredi 'yeniden giriş saldırısı' gibi göründü gnosis zinciri soruşturmaya göre. Benzer şekilde platformlar daha fazla hasarı önlemek için sözleşmelerini durdurdu.
Hasarı değerlendirme
Solidity geliştiricisi ve yaratıcısı NFT likidite protokolü uygulaması, Şegen 16 Mart'ta bir dizi tweet'te hack'i vurgulamayı seçti. Şaşırtıcı bir şekilde bu analiz, adı geçen kuruluşun aynı istismarda 225,000 dolar kaybetmesinin ardından geldi.
Halihazırda birkaç iyi konu açıldı (ve bazı kötü olanlar da çok erken konuşuldu) @Agave_lending ve @YüzFinans bugün hackleniyor.
İşte bu istismar nedeniyle 225 bin dolardan fazla para kaybettikten ve ne olduğunu araştırdıktan sonraki analizim ve düşüncelerim:
— Shegen (@shegenerates) 15 Mart, 2022
Ön araştırmaları, saldırının Gnosis Chain'deki bir wETH sözleşme işlevinden yararlanılarak çalıştığını ortaya çıkardı. Uygulamalar borcu hesaplayamadan saldırganın kripto ödünç almaya devam etmesine olanak tanıdı ve bu da daha fazla borçlanmayı önledi. Dolayısıyla suçlu, fonlar protokollerden çekilinceye kadar, yatırdıkları teminat karşılığında borç alarak söz konusu istismarı gerçekleştirdi.
Daha da kötüsü fonlar güvende değildi. 'Onlar neredeyse sonsuza kadar gittiler, ama hala umut var' dedi katma. Bununla birlikte, Gnosis'in kurucusu Martin Koppelmann, kaosun ortasında bir miktar kesinlik sağlamak için tweet attı. Koppelmann şunu ileri sürdü:
Herhangi bir söz veremem ve öncelikle ne olduğunu gerçekten anlamalıyız. Ancak genel olarak kullanıcıların örneğin borç alarak/para yatırarak fon kaybetmelerini engellemeye çalışan bir GnosisDAO teklifini desteklerdim. @Agave_lending
— Martin Köppelmann ?? (@koeppelmann) 15 Mart, 2022
Biraz daha araştırdıktan sonra saldırganın bu sözleşmeyi 3 işlevle kullandığı iddia edildi; 21120283 ve 21120284 numaralı bloklarda bilgisayar korsanı, etkilenen protokol olan Agave ile doğrudan etkileşim kurmak için sözleşmeyi kullandı. Agave'deki akıllı sözleşme esasen 18.4 milyar dolar güvence altına alan Aave ile aynıydı.
Bildirilen herhangi bir istismar olmadığından AAVE, Agave nasıl boşaltılabilir? Peki, işte bir özet nasıl “istemeden” güvenli olmayan bir şekilde kullanıldığına dair.
Weth sözleşmesi, birisi GC'ye ilk kez taşındığında uygulandı. Köprüden yeni bir token getirdiğinizde, onun için yeni bir token sözleşmesi oluşturulur.
callAfterTransfer işlevi, jetonları doğrudan köprüye gönderip onları sonsuza kadar kaybetmenizi önlemeye yardımcı olur pic.twitter.com/ZiAZAcTtSI
— Shegen (@shegenerates) 15 Mart, 2022
Söz konusu hacker, agavdaki teminatından fazlasını ödünç alabildi. Böylece tüm ödünç alınabilir varlıklarla birlikte uzaklaşıyoruz.
Kaynak: Twitter
Ödünç alınan varlıkların 2,728.9'u WETH, 243,423 USDC, 24,563 LINK, 16.76 WBTC, 8,400 GNO ve 347,787 WXDAI'den oluştu. Genel olarak, hacker yaklaşık 11 milyon dolar kazandı.
Yine de Shegen, saldırıyı önleyemedikleri için Agave geliştiricilerini suçlamadı. Geliştiricilerin güvenli ve güvenli bir AAVE tabanlı kod çalıştırdığını söyledi. Rağmen Kullanılmış güvenli olmayan tokenlarla, güvenli olmayan bir şekilde.
"GC'deki tüm DeFi protokolleri, mevcut köprülü tokenleri yenileriyle değiştirmelidir" diye bitirdi.
Blockchain güvenlik araştırmacısı Mudit Gupta yineledi istismarın arkasında benzer bir neden var.
Agave ve Hundred Finance bugün Gnosis zincirinde (eski adıyla xDAI) istismar edildi.
Saldırının altında yatan neden, Gnosis'teki resmi köprülü tokenlerin standart olmaması ve her transferde token alıcısını çağıran bir kancaya sahip olmasıdır. Bu, yeniden giriş saldırılarına olanak tanır. pic.twitter.com/8MU8Pi9RQT
- Mudit Gupta (@Mudit__Gupta) 15 Mart, 2022
Kaynak: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/