Bagaimana Seorang Penyerang Menyedot Lebih dari $11 juta Dari protokol DeFi, Agave, dan Ratusan Keuangan

2022-05-03, 02:40
<img onerror="this.className=`errimg`" src="1mFromDeFiprotocols_web.jpg" 1mfromdefiprotocols_web.jpg"="" alt="" class="errimg">

Pengembangan keuangan terdesentralisasi (DeFi) pada jaringan blockchain membantu memastikan transaksi yang aman dan lebih cepat.

Sementara platform DeFi memiliki banyak keunggulan, mereka rentan terhadap serangan.

Ketika serangan ini terjadi, mereka menyebabkan hilangnya jumlah besar dan gangguan transaksi yang signifikan.

Salah satu serangan baru-baru ini pada protokol DeFi menyebabkan kerugian 11 juta dolar.

Serangan itu dilakukan pada blockchain Agave and Hundred Finance.

Para peretas meluncurkan bentuk serangan masuk kembali.

Peretasan masuk kembali memungkinkan peretas untuk mengelabui kontrak protokol untuk melakukan panggilan langsung tetapi eksternal ke kontrak yang tidak tepercaya.

Menjadi protokol blockchain terdesentralisasi, baik Agave dan Hundred Finance tidak dapat mencegah token dengan panggilan balik, membuat serangan itu sukses.


Protokol terdesentralisasi terus memanfaatkan jaringan blockchain untuk memastikan transaksi dan verifikasi yang lebih cepat.

Selain itu, platform Keuangan Terdesentralisasi terus menjadi pilihan terbaik untuk investasi, transaksi internasional, dan alat tukar.

Protokol DeFi dan semua aplikasi blockchain (secara umum) rentan terhadap serangan.

Karena investasi besar dan transaksi besar di beberapa lokasi, aplikasi ini rentan terhadap serangan dan akses tidak sah.

Dengan semua upaya yang dilakukan oleh pengembang blockchain untuk terus memperbarui arsitektur keamanan dan memastikan verifikasi transaksi yang menyeluruh, peretas masih memiliki cara mereka sendiri.

Satu serangan baru-baru ini terjadi ketika para peretas menyedot lebih dari $11 juta dari Agave and Hundred Finance.

Artikel ini akan memberikan rincian serangan yang lebih tepat dan bagaimana hal itu mempengaruhi platform blockchain.

Sebelum beralih ke bagaimana serangan itu diluncurkan, mari kita definisikan Agave and Hundred Finance.


Apa itu Agave?


Agave adalah merek besar dengan beberapa anak perusahaan, dan salah satunya adalah platform blockchain dan cryptocurrency.

Token Agave di pasar crypto adalah AgaveCoin (AGVE).

Agave adalah blockchain yang dijalankan oleh protokol Organisasi Otonom Terdesentralisasi (DAO).

Platform blockchain ini memberi penghargaan kepada deposan dengan pendapatan pasif. Deposan dapat menggunakan simpanannya sebagai jaminan utang dan meminjamkan aset digital.

Koin adalah token utilitas 100% yang akan memungkinkan pemain industri dan pemangku kepentingan untuk berpartisipasi dan berinvestasi.

AgaveCoin adalah protokol keuangan terdesentralisasi yang memungkinkan transaksi perdagangan, pembayaran, dan produk pertanian.

Sebagai pemegang token AGVE, Anda memiliki hak suara untuk mendorong strategi dan membuat keputusan.

Agave dibangun di atas rantai Gnosis, lapisan Ethereum 2 (rantai samping EVM).

AGVE adalah token unik karena memungkinkan pembelian dan transaksi layanan Pertanian di semua rantai produksi industri Agave.

Agave adalah protokol pinjaman dan uang non-penahanan yang memanfaatkan jaringan blockchain.


Apa Itu Seratus Keuangan?


Hundred Finance adalah aplikasi Decentralized Finance (DeFi) lainnya di blockchain.

Hundred Finance adalah Aplikasi Terdesentralisasi (dApp) yang memungkinkan Anda untuk meminjamkan dan meminjam mata uang kripto.

Aplikasi blockchain ini memiliki token cryptocurrency untuk transaksi dan pertukaran, token HND.

Tingkat bunga pada HND dihitung dan dinyatakan per token sebagai Hasil Persentase Tahunan (APY).

Hundred Finance adalah protokol multi-rantai yang terintegrasi dengan oracle Chain Link. Informasi tersebut memastikan kesehatan dan stabilitas pasar dengan spesialisasi dalam melayani aset jangka panjang.

Hundred Finance adalah penerus Percent Finance.

Sejak diluncurkan ke teknologi blockchain, Hundred Finance telah berkolaborasi dengan Chainlink Oracle, Beethoven, Immunefi, Spookywap, dan lainnya.


Setelah membiasakan diri dengan AGVE dan HND sebagai aplikasi blockchain dan token kripto, mari selami serangan yang menyebabkan hilangnya $11 juta pada kedua platform blockchain.


Serangan Agave Dan Ratusan Keuangan


Ruang cryptocurrency menjadi hiruk-pikuk ketika Agave and Hundred Finance Admins mentweet bahwa dompet masing-masing telah dieksploitasi.

Dilaporkan bahwa peretas menghasilkan sekitar $11 juta dalam bentuk Wrapped ETH (wETH), Wrapped BTC (wBTC), chain link (LINK), USD Coin (USDC), Gnosis (GNO), dan XDAI (wxDAI).

Peretasan itu adalah serangan masuk kembali pada Agave dan Hundred Finance.

Serangan re-entrancy adalah kelemahan bahasa pemrograman soliditas. Kerentanan ini memungkinkan peretas untuk mengelabui kontrak protokol untuk melakukan panggilan langsung tetapi eksternal ke kontrak yang tidak tepercaya.

Panggilan (sebenarnya) dilakukan sekali; setelah itu, peretas akan menggunakan kontrak yang mencurigakan untuk melakukan panggilan berulang dengan pola yang sama dan menyedot dana protokol.

Dalam kasus serangan terhadap Agave and Hundred Finance, penyelidikan menunjukkan bahwa peretas meluncurkan bug reentrancy di kedua aplikasi blockchain.

Bug segera memungkinkan untuk mengeksploitasi pinjaman flash. Karena polanya sama, bug memungkinkan peretas untuk terus meminjam dari protokol.

Selain itu, peretas terus menerus melakukan panggilan untuk penarikan dana tanpa memberikan jaminan tambahan. Penyelidikan akhirnya menunjukkan bahwa alamat peretas telah mengirim lebih dari 2.100 ETH dengan total sekitar $5,5 juta ke pencuci kripto.

Para ahli percaya bahwa beberapa alasan bisa menyebabkan serangan itu. Beberapa dari mereka termasuk?


Alasan Keberhasilan Serangan


Alasan keberhasilan serangan itu relatif sederhana dan mudah dideteksi. Mereka termasuk;

Pengembang Agave memungkinkan token dengan panggilan balik digunakan untuk transaksi di platformnya.
Koin resmi yang dijembatani di Gnosis tidak standar. Token ini memiliki pengait yang memberi tahu penerima token pada setiap transfer, dan peretas selalu dapat menerima pemberitahuan ini dan segera beraksi.


Kesimpulan


Serangan terhadap Agave and Hundred Finance bukanlah yang pertama dan tidak akan menjadi yang terakhir.

Sesaat sebelum serangan Agave and Hundred finance Reentrancy, Cream Finance, aplikasi DeFi serupa, menyaksikan serangan re-entrancy pinjaman kilas balik. Serangan terhadap Cream Finance menyebabkan penyedotan sekitar $19 juta.

Dampak dari serangan itu selalu sangat besar. Ketika Agave mengumumkan serangan itu, harga pasarnya turun 25%, sementara Hundred Finance turun 5,8%.

Meskipun kejadiannya sangat disayangkan, adalah bijaksana bagi para pengembang untuk meng-upgrade penjaga re-entrancy mereka. Pengembang harus mengubah protokol tata kelola untuk mencegah token dengan panggilan balik untuk transaksi.



Penulis: Valentin A. , Peneliti Gate.io
Artikel ini hanya mewakili pandangan peneliti dan bukan merupakan saran investasi.
Gate.io memiliki semua hak atas artikel ini. Pengeposan ulang artikel akan diizinkan asalkan Gate.io dirujuk. Dalam semua kasus, tindakan hukum akan diambil karena pelanggaran hak cipta.
Bagikan
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank