DeFi Agave

โปรโตคอล DeFi Agave ถูกแฮ็กการเงินนับร้อย

ผู้โจมตีขโมย Crypto มูลค่า 11 ล้านเหรียญ การแฮ็ก DeFi ดำเนินต่อไปเนื่องจากมีการใช้โปรโตคอลการเงินแบบกระจายอำนาจสองโปรโตคอล ส่งผลให้สูญเสีย cryptocurrencies มูลค่า 11 ล้านดอลลาร์

Agave และ Hundred Finance – ถูกใช้ประโยชน์ในกรณีใหม่ของการโจมตี “กลับเข้ามาใหม่”

แฮ็กเกอร์รายงานว่าสามารถดูดเงินทุนมูลค่า 11 ล้านดอลลาร์ใน Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis และ Wrapped XDAI บนโปรโตคอล DeFi ทั้งสองบน Gnosis chain โดยใช้แฟลชเงินกู้

The Hacks
เมื่อวัดจากข้อมูลที่มีอยู่ใน Tenderly สำหรับการละเมิด ทั้งสอง ครั้ง พบว่าแฮ็กเกอร์ใช้ประโยชน์จากจุดบกพร่องในการกลับเข้ามาใหม่ในโปรโตคอลทั้งสอง

UFA Slot

สำหรับผู้ที่ไม่ได้ฝึกหัด “การกลับเข้ามาใหม่” เป็นช่องโหว่ในภาษาโปรแกรม Solidity

ที่ช่วยให้เอนทิตีที่เป็นอันตรายสามารถหลอกลวงสัญญาอัจฉริยะของโปรโตคอลเพื่อทำการเรียกภายนอกไปยังสัญญาที่ไม่น่าเชื่อถือ หลังจากที่ผู้โจมตีเข้าควบคุมสัญญาที่ไม่น่าเชื่อถือ พวกเขาสามารถเรียกซ้ำไปยังฟังก์ชันเดิมเพื่อระบายเงินทุน

นักวิจัยด้านบล็อคเชนและความปลอดภัย Mudit Gupta เปิดเผยว่าโทเค็นบริดจ์อย่างเป็นทางการของ Gnosis เป็นผู้ร้ายหลักและกล่าวว่าพวกเขา “ไม่ได้มาตรฐานและมีเบ็ดที่เรียกผู้รับโทเค็นทุกครั้งที่โอน” เขาเสริมว่านี่คือสิ่งที่ช่วยให้สามารถโจมตีกลับเข้ามาได้

Agave เป็นทางแยกของแพลตฟอร์มสินเชื่อ DeFi Aave ในขณะที่โครงการสินเชื่อหลายสาย Hundred Finance เป็นทางแยกของ Compound Gupta ยังอ้างว่า Compound ไม่ปฏิบัติตามรูปแบบการตรวจสอบ-ผลกระทบ-ปฏิสัมพันธ์ที่แนะนำ แม้จะอ้างถึงก็ตาม

การโจมตีกลับเข้ามาใหม่นั้นน่าสยดสยองมากขึ้นเนื่องจาก “รหัสดำเนินการโต้ตอบก่อนที่จะใช้เอฟเฟกต์” ในทางกลับกัน Aave พยายามทำตามรูปแบบการโต้ตอบการตรวจสอบที่กล่าวถึงข้างต้น อย่างไรก็ตาม มีเส้นทางผ่านการชำระบัญชีโดยที่ผู้โจมตี “ทำลายรูปแบบ” ในการโจมตีครั้งล่าสุด เขาพูดต่อว่า

“ทีมโพรโทคอล agave และหลายร้อยคนสับสนโดยการระบุโทเค็นที่สามารถกลับเข้าไปใหม่ได้ Aave และการกำกับดูแลแบบทบต้นจะตรวจสอบการกลับเข้ามาใหม่ก่อนที่จะแสดงรายการโทเค็นบน mainnet เพื่อหลีกเลี่ยงการโจมตีที่คล้ายกัน”

กองทุนไม่ใช่ SAFU

ตามที่นักพัฒนาที่โปรโตคอล DeFi DanceFloor “Shegan” กองทุนไม่ปลอดภัย อย่างไรก็ตาม Martin Köppelmann ผู้ก่อตั้ง Gnosis กล่าวว่าเขาจะสนับสนุนมาตรการจาก DAO ทีมงานที่อยู่เบื้องหลัง Hundred Finance และ Agave กำลังสืบสวนหาช่องโหว่และได้หยุดสัญญาชั่วคราว


อ่านบทความข่าวสารอื่น ๆ เพิ่มเติมได้ที่ burnabyphotographicsociety.com อัพเดตทุกสัปดาห์

Releated