Ein Hacker hat sich mit ungefähr davongemacht 11 Millionen Dollar in Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis und Wrapped XDAI nach einem „Wiedereintritts“-Angriff auf die DeFi-Kreditprotokollanwendungen Agave und Hundred Finance.
Der Angriff erfolgt innerhalb von 24 Stunden nach Bekanntwerden des Deus Finance-Exploits, bei dem Hacker über 3 Millionen Dollar in Dai und Ethereum von der Kreditvertragsplattform gestohlen haben.
Agaves Token, AGVE, fiel nach Angaben von CoinGecko nach dem Angriff um 20 Prozent. Der Token HND von Hundred Finances fiel um 3,5 Prozent, nachdem er den Exploit angekündigt hatte, erholte sich jedoch seitdem und erreichte ein 24-Stunden-Hoch.
„Agave untersucht derzeit einen Exploit im Agave-Finanzprotokoll“, Agave getwittert am Dienstag, den 15. um 13:30 Uhr UTC: „Wir werden Sie informieren, sobald wir mehr wissen.“ Es stellte fest, dass die Verträge ausgesetzt wurden, bis die Situation gelöst ist.
Das Hundred Finance-Team auch getwittert Es wurde in der Gnosis-Kette ausgenutzt und hat seine Märkte angehalten, während es Ermittlungen durchführte.
Laut On-Chain-Analyse ist die die Anschrift Der mit dem Angreifer verbundene Angreifer hat über 2.100 ETH im Wert von über 5,5 Millionen US-Dollar an einen Krypto-Mixer geschickt, um die gestohlenen Token zu waschen.
Verwandt:Deus Finance Exploit: Hacker kommen mit DAI und Ether im Wert von 3 Millionen Dollar davon
Die Solidity-Entwicklerin und Schöpferin einer NFT-Liquiditätsprotokoll-App, Shegen (@shegenerates), twitterte, dass sie bei dem Exploit 225.000 US-Dollar verloren habe und dass ihre Untersuchungen ergaben, dass der Angriff funktionierte, indem eine wETH-Vertragsfunktion auf Gnosis Chain ausgenutzt wurde, die es dem Angreifer ermöglichte, weiterhin Krypto zu leihen bevor die Apps die Schulden berechnen könnten, was eine weitere Kreditaufnahme verhindern würde.
Der Angreifer führte diesen Exploit durch und borgte kontinuierlich gegen dieselben Sicherheiten, die er hinterlegt hatte, bis die Gelder aus den Protokollen abgezogen wurden.
Shegen sagte gegenüber Cointelegraph, dass der Smart Contract auf Agave zwar im Wesentlichen derselbe ist wie Aave, der 18,4 Milliarden Dollar sichert, aber „jeder Sicherheitsforscher ihn geprüft hat“, sagte sie, „daher ist es vernünftig anzunehmen, dass der Vertrag sicher ist“.
„Ich denke, dieser Hack sticht mehr hervor als einige größere“, sagte Shegen und bemerkte, dass, selbst wenn es sich um einen kleineren Hack im Vergleich zu anderen handelt, die Millionen mehr gestohlen haben, die Ähnlichkeit mit Aave bedeutete, dass „es höchst sicher zu sein scheint, aber nicht war. und dieser Vertrauensbruch tut weh.“
„Es ist, als könne man nicht einmal einem „sicheren“ Code vertrauen.“
Blockchain-Sicherheitsforscher Mudit Gupta sagt Der Unterschied zwischen Aave und Agave besteht darin, dass „Aave aktiv auf Wiedereintritt prüft, bevor es Token im Hauptnetz auflistet, um ähnliche Angriffe zu vermeiden“.
Shegen erklärte, dass sie die Agave-Entwickler nicht dafür verantwortlich mache, dass sie den Angriff nicht verhindert hätten.
„Agave wurde auf unsichere Weise verwendet“, sagte sie, „vielleicht hätte der Entwickler nicht zulassen sollen, dass Token mit Rückrufen auf der Plattform verwendet werden, oder mehr Wiedereintrittssicherungen hinzufügen sollen.“
„Curve zum Beispiel wurde heute nicht gehackt, weil es zusätzliche Wiedereintrittswachen hat, aber ich gebe Luigy und dem Agave-Team nicht wirklich die Schuld, weil es so unwahrscheinlich ist, dass dies passiert wäre und viele Leute vorbeigeschlichen wären.“
Shegen gab Gnosis auch nicht die Schuld für die Erstellung von Token mit einer Rückruffunktion, die der Hacker ausnutzte, und sagte, dass die Funktion Benutzer daran hindere, versehentlich ihre Krypto zu verlieren.
„Das ist eigentlich ein großartiges Feature für überbrückte Token, es ist meiner Meinung nach nur ein wirklich unglücklicher und unglücklicher Umstand.“