Một hacker đã kiếm được khoảng 11 triệu đô la trong Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis và Wrapped XDAI sau khi thực hiện một cuộc tấn công “re-entrancy” vào các ứng dụng giao thức cho vay DeFi Agave và Hundred Finance.
Cuộc tấn công xảy ra trong vòng 24 giờ sau khi có tin tức về vụ hack Deus Finance, nơi các hacker đã đánh cắp hơn 3 triệu đô la Dai và Ethereum từ nền tảng hợp đồng cho vay.
Token của Agave, AGVE, đã giảm 20% sau cuộc tấn công, theo dữ liệu từ CoinGecko. Mã thông báo HND của Hundred Finances đã giảm 3,5% sau khi công bố khai thác, tuy nhiên kể từ khi phục hồi, nó đạt mức cao nhất trong 24 giờ.
“Agave hiện đang điều tra về việc bị khai thác trên giao thức của mình”, Agave đã tweet vào ngày 15 Thứ Ba lúc 1:30 chiều UTC, “Chúng tôi sẽ cập nhật cho bạn ngay khi chúng tôi biết thêm.” Agave còn lưu ý rằng các hợp đồng đã được tạm dừng cho đến khi tình hình được giải quyết.
Nhóm Hundred Finance cũng đã tweet rằng họ đã bị khai thác trên chuỗi Gnosis và đã tạm dừng thị trường của mình và thực hiện các cuộc điều tra.
Theo phân tích trên chuỗi, địa chỉ liên quan đến kẻ tấn công đã gửi hơn 2.100 ETH, trị giá hơn 5,5 triệu đô la, đến một crypto mixer để rửa các token đánh cắp được.
Nhà phát triển Solidity và người tạo ra ứng dụng giao thức thanh khoản NFT, Shegen (@shegenerates) đã tweet rằng cô ấy đã mất 225.000 đô la trong vụ hack và điều tra được rằng cuộc tấn công đã hoạt động bằng cách khai thác một chức năng hợp đồng wETH trên Gnosis Chain cho phép kẻ tấn công tiếp tục vay tiền điện tử trước khi các ứng dụng có thể tính toán khoản nợ, điều này sẽ ngăn không cho vay thêm.
Kẻ tấn công đã thực hiện việc khai thác này, liên tục vay mượn đối với cùng một tài sản thế chấp mà chúng đã đăng cho đến khi rút hết tiền khỏi các giao thức.
Shegen nói với rằng mặc dù hợp đồng thông minh trên Agave về cơ bản giống với Aave, bảo đảm 18,4 tỷ đô la, nhưng “mọi nhà nghiên cứu bảo mật đều đã kiểm tra nó,” cô nói “vì vậy, thật hợp lý khi cho rằng hợp đồng là an toàn”.
“Tôi nghĩ vụ hack này nổi bật hơn một số vụ lớn hơn,” Shegen nói, lưu ý rằng ngay cả khi đó là một vụ hack nhỏ hơn so với những vụ khác đã lấy trộm hàng triệu USD , thì điểm tương đồng với Aave có nghĩa là “nó có vẻ an toàn hàng đầu, nhưng không phải, nó thật sự là rất mất tín và đau lòng. “
“Nó giống như bạn thậm chí không thể tin tưởng vào đoạn code ” an toàn “.”
Nhà nghiên cứu bảo mật chuỗi khối Mudit Gupta cho biết sự khác biệt giữa Aave và Agave là “Aave chủ động kiểm tra re-entrancy trước khi niêm yết token trên mạng chính để tránh các cuộc tấn công tương tự”.
Shegen nói rằng cô ấy không đổ lỗi cho các nhà phát triển Agave vì đã không ngăn chặn được cuộc tấn công.
“Agave đã được sử dụng theo cách không an toàn”, cô ấy nói, “có lẽ nhà phát triển không nên cho phép sử dụng các token có lệnh gọi lại trên nền tảng.”
“Ví dụ, Curve không bị tấn công ngày hôm nay, bởi vì nó có thêm các re-entrancy guards an toàn hơn, nhưng tôi không thực sự đổ lỗi cho Luigy và nhóm Agave vì điều này rất khó xảy ra và đã vượt qua khả năng tưởng tượng.”
Shegen cũng không đổ lỗi cho Gnosis vì đã tạo ra các token với chức năng gọi lại mà hacker đã khai thác, tính năng này ngăn người dùng chẳng may làm mất tiền điện tử của chính họ.
“Đó thực sự là một tính năng tuyệt vời cho các bridged token, đó chỉ là một tình huống thực sự đáng tiếc và không may mắn theo quan điểm của tôi.”
Nguồn: Cointelegraph.com