Como um atacante roubou mais de $11m dos protocolos DeFi, Agave e Hundred Finance

2022-05-03, 02:40
<img onerror="this.className=`errimg`" src="1mFromDeFiprotocols_web.jpg" 1mfromdefiprotocols_web.jpg"="" alt="" class="errimg">

O desenvolvimento de finanças descentralizadas (DeFi) na rede blockchain ajuda a garantir transacções seguras e mais rápidas.

Embora as plataformas DeFi tenham inúmeras vantagens, elas são propensas a atacar.

Quando estes ataques ocorrem, eles levam à perda de quantidades maciças e à interrupção de transacções significativas.

Um dos recentes ataques ao protocolo DeFi levou à perda de 11 milhões de dólares.

O ataque foi levado a cabo na cadeia de bloqueio do Agave e das Cem Finanças.

Os hackers lançaram uma forma de reentrada de ataque.

O hacking de reentrada permite a um hacker enganar o contrato de um protocolo para fazer uma chamada directa mas externa para um contrato não confiável.

Sendo os protocolos de cadeias de bloqueio descentralizadas, tanto o Agave como o Hundred Finance não conseguiram impedir os tokens com chamadas de retorno, tornando o ataque um sucesso.


Os protocolos descentralizados continuam a alavancar a rede da cadeia de bloqueio para assegurar transacções e verificações mais rápidas.

Para além disso, as plataformas financeiras descentralizadas continuam a ser a melhor opção para investimento, transacções internacionais e meios de troca.

Os protocolos DeFi e todas as aplicações da cadeia de bloqueio (em geral) são propensos a ataques.

Devido ao vasto investimento e enormes transacções em vários locais, estas aplicações são propensas a ataques e acessos não autorizados.

Com todos os esforços dos criadores de cadeias de bloqueio para actualizar constantemente a arquitectura de segurança e assegurar a verificação completa das transacções, os hackers ainda têm o seu caminho.

Um ataque recente ocorreu quando os hackers roubaram mais de 11 milhões de dólares do Agave e da Hundred Finance.

Este artigo deve dar detalhes mais precisos sobre o ataque e como ele afectou a plataforma da cadeia de bloqueio.

Antes de passarmos à forma como o ataque foi lançado, vamos definir o Agave e as Cem Finanças.


O que é o Agave?


O Agave é uma grande marca com várias filiais, e uma delas é a plataforma da cadeia de bloqueios e a moeda criptográfica.

O símbolo de Agave no mercado criptográfico é AgaveCoin (AGVE).

O Agave é uma cadeia de bloqueio gerida pelo protocolo da Organização Autónoma Descentralizada (DAO).

Esta plataforma de cadeia de bloqueio recompensa os depositantes com rendimentos passivos. Os depositantes podem usar os seus depósitos como garantia da dívida e emprestar activos digitais.

A moeda é uma ficha 100% utilitária que permitirá aos actores da indústria e às partes interessadas participar e investir.

O AgaveCoin é um protocolo financeiro descentralizado que irá permitir o comércio, pagamentos e transacções de produtos agrícolas.

Como detentor de uma ficha AGVE, você tem o poder de voto para conduzir a estratégia e tomar decisões.

O Agave é construído sobre a cadeia da Gnose, a camada 2 de Ethereum (cadeia lateral EVM).

A AGVE é um símbolo único porque permite a compra e transacção de serviços agrícolas em todas as cadeias de produção da indústria do Agave.

O Agave é um protocolo de dinheiro não-custodial e de empréstimo que alavanca a rede da cadeia de bloqueio.


O que é a Hundred Finance?


A Hundred Finance é outro aplicativo de Finanças Descentralizadas (DeFi) na cadeia de bloqueios.

Hundred Finance é uma Aplicação Descentralizada (dApp) que lhe permite emprestar e pedir emprestado moedas criptográficas.

Esta aplicação de bloqueio tem o seu símbolo de moeda criptográfica para transacções e troca, o símbolo HND.

A taxa de juros na HND é calculada e expressa por sinal como um Rendimento Anual Percentual (APY).

Hundred Finance é um protocolo multi-cadeia que se integra com oráculos Chain Link. A informação assegura a saúde e estabilidade do mercado com especialização no serviço de bens de cauda longa.

A Hundred Finance é a sucessora da Percent Finance.

Desde o seu lançamento na tecnologia Blockchain, a Hundred Finance tem colaborado com Chainlink Oracle, Beethoven, Immunefi, Spookywap, e outros.


Tendo-nos familiarizado com AGVE e HND como aplicações de cadeias de bloqueio e fichas criptográficas, vamos mergulhar no ataque que viu a perda de 11 milhões de dólares em ambas as plataformas de cadeias de bloqueio.


O Ataque do Agave e Cem Finanças


O espaço criptográfico foi atirado para um frenesim quando os administradores do Agave e Cem Finanças tweeted que as suas respectivas carteiras tinham sido exploradas.

Foi reportado que o hacker fugiu com cerca de 11 milhões de dólares em Wrapped ETH (wETH), Wrapped BTC (wBTC), chain link (LINK), USD Coin (USDC), Gnosis (GNO), e embrulhado XDAI (wxDAI).

O hack foi um ataque de reentrada tanto no Agave como no Hundred Finance.

O ataque de reentrância é a fraqueza da linguagem de programação de solidez. Esta vulnerabilidade permite a um hacker enganar o contrato de um protocolo para fazer uma chamada directa mas externa a um contrato não confiado.

A chamada (real) é feita uma vez; depois disso, o hacker usará o contrato suspeito para fazer chamadas repetidas de um padrão semelhante e desviar os fundos do protocolo.

No caso de um ataque ao Agave e à Hundred Finance, a investigação mostrou que o hacker lançou um bug de reentrada em ambas as aplicações blockchain.

O bug permitiu imediatamente uma exploração de empréstimo flash. Uma vez que o padrão é o mesmo, o bug permitiu que os hackers continuassem a pedir empréstimos aos protocolos.

Além disso, o hacker estava a fazer chamadas contínuas para levantamento de fundos sem colocar garantias adicionais. A investigação acabou por mostrar que o endereço do hacker tinha enviado mais de 2.100 ETH num total de cerca de 5,5 milhões de dólares para um lavador criptográfico.

Os peritos acreditavam que várias razões poderiam ter causado o ataque. Algumas delas incluem?


As razões para o sucesso do ataque


As razões para o sucesso do ataque foram relativamente simples e fáceis de detectar. Eles incluem;

Os criadores do Agave tornaram possível que fichas com retorno de chamadas fossem utilizadas para transacções na sua plataforma.
As moedas oficiais da Gnosis não são padrão. Estes tokens têm um gancho que notifica o receptor de tokens em cada transferência, e os hackers podem sempre receber esta notificação e entrar imediatamente em acção.


Conclusão


O ataque ao Agave e à Hundred Finance não é o primeiro e não será o último.

Pouco antes do ataque de reentrância do Agave e Cem Finanças, a Cream Finance, uma aplicação semelhante da DeFi, testemunhou um ataque de reentrância de empréstimos de flashback. O ataque ao Cream Finance levou ao sifão de cerca de 19 milhões de dólares.

O impacto do ataque é sempre enorme. Quando o Agave anunciou o ataque, o seu preço de mercado caiu 25%, enquanto que o Hundred Finance caiu 5.8%.

Embora os eventos sejam infelizes, é conveniente que os programadores actualizem a sua guarda de reentrada. Os criadores devem alterar o protocolo de governação para evitar fichas com chamadas de retorno para as transacções.



Autor: Valentin A., Gate.io Researcher
Este artigo representa apenas a opinião do pesquisador e não constitui nenhuma sugestão de investimento.
A Gate.io reserva-se todos os direitos sobre este artigo. A reedição do artigo será permitida desde que o Gate.io seja referenciado. Em todos os casos, serão tomadas medidas legais devido à violação dos direitos de autor.
Partilhar
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank