Хакер вывел более $11 млн из DeFi-протоколов Agave и Hundred Finance

Развитие децентрализованных финансов (DeFi) в блокчейне помогает обеспечить безопасные и быстрые транзакции.

Несмотря на множество преимуществ платформы DeFi подвержены атакам, при которых происходит хищение огромных сумм и нарушаются важные транзакции.

Одна из недавних атак на протоколы DeFi Agave и Hundred Finance привела к потере $11 миллионов. Хакеры совершили атаку повторного входа.

При взломе повторного входа хакер обманным путём заставляет контракт протокола совершить прямой внешний вызов ненадёжному контракту.

Децентрализованные блокчейн-протоколы Agave и Hundred Finance не смогли блокировать токены с функцией обратного вызова, поэтому атака прошла успешно.

Децентрализованные протоколы продолжают использовать блокчейн для обеспечения более быстрых транзакций и верификации. Помимо этого, платформы децентрализованных финансов отлично подходят для инвестиций, международных транзакций и обмена средств.

Протоколы DeFi и все приложения на блокчейне в целом подвержены атакам. Поскольку в крупных инвестициях и транзакциях задействовано несколько сторон, эти приложения уязвимы к эксплойтам и несанкционированному доступу.

Хотя разработчики блокчейнов постоянно обновляют архитектуру безопасности, чтобы обеспечить тщательную проверку транзакций, хакеры всё равно находят способы совершать незаконные и злонамеренные действия. Как, например, недавний эксплойт, когда хакеры вывели более $11 млн из Agave и Hundred Finance.

В этой статье мы предоставим более точные сведения об атаке и о том, как она повлияла на блокчейн-сообщество.

Прежде чем перейти к тому, как атака произошла, давайте более подробно рассмотрим протоколы Agave и Hundred Finance.

Протокол Agave

Agave — это крупный бренд с несколькими дочерними компаниями. Однако сегодня мы рассмотрим только блокчейн-платформу и криптовалюту.

Токен Agave — это AgaveCoin (AGVE). Agave — это блокчейн, которым управляет децентрализованная автономная организация (DAO).

На этой блокчейн-платформе вкладчики получают пассивный доход посредством использования своих депозитов в качестве обеспечения долга и предоставления цифровых активов в кредит.

AGVE - это служебный токен, с помощью которого инвесторы и стейкхолдеры оперируют в проекте. AgaveCoin — это децентрализованный финансовый протокол, с помощью которого можно осуществлять торговлю, переводы и операции с сельскохозяйственной продукцией. Держатели токена AGVE имеют право голоса для разработки стратегии и принятия решений.

Протокол Agave построен на блокчейне Gnosis, Ethereum L2 (сайдчейн EVM).

AGVE — это уникальный токен, поскольку с его помощью можно покупать и продавать сельскохозяйственные услуги во всех производственных цепочках индустрии Agave .

Agave — это некастодиальный протокол финансирования и кредитования, который использует сеть блокчейнов.

Протокол Hundred Finance

Hundred Finance — ещё одно приложение для децентрализованных финансов (DeFi) на блокчейне.

Hundred Finance — это децентрализованное приложение (dApp), через которое можно одалживать и брать взаймы криптовалюты.

Это блокчейн-приложение имеет свой токен HND для транзакций и обмена. Процентная ставка для HND рассчитывается для каждого токена и выражается в процентах от годовой доходности (APY).

Hundred Finance — это мультичейн-протокол, который интегрируется с оракулами Chainlink. Информация обеспечивает здоровье и стабильность рынка, в основном фокусируясь на обслуживании долгосрочных активов.

Hundred Finance является преемником Percent Finance.

С момента запуска технологии блокчейна Hundred Finance сотрудничала с оракулами Chainlink, Beethoven, Immunefi, Spookywap и другими.

Мы обозначили базовую информацию о блокчейн-приложениях Agave и Hundred Finance и их токенах, а теперь давайте разберём как произошёл эксплойт, который привёл к потере $11 млн на обеих платформах.

Атака на Agave и Hundred Finance

Всё криптовалютное пространство вновь возмутилось, когда Agave и Hundred Finance сообщили в Твиттере о произошедшем эксплойте.

В твитах говорилось, что хакер скрылся с примерно $11 миллионами в Wrapped ETH (wETH), Wrapped BTC (wBTC), chainlink (LINK), USD Coin (USDC), Gnosis (GNO) и Wrapped XDAI (wxDAI).

На оба протокола Agave и Hundred Finance была совершена атака повторного входа.

Атака повторного входа — это слабость языка программирования Solidity, через которую хакер может обмануть контракт протокола, чтобы сделать прямой внешний вызов ненадежного контракта.

Фактический вызов делается один раз, и после этого хакер будет использовать ненадежный контракт для повторных вызовов по аналогичному шаблону для выкачивания средств из протокола.

В случае атаки на Agave и Hundred Finance расследование показало, что хакер запустил баг повторного входа в обоих блокчейнах, который позволил совершить эксплойт через флэш-кредиты. И далее по этому же шаблону хакер продолжил обкрадывать протоколы.

Кроме того, хакер выводил средства без предоставления дополнительного залога. Расследование в конечном итоге показало, что адрес хакера отправил отмывателю криптовалют более 2100 ETH на общую сумму около $5,5 миллионов.

Эксперты считают, что причин нападения могло быть несколько. Вот некоторые из них:

Причины успеха атаки

Разработчики Agave позволяют использование токенов с функцией обратного вызова для транзакций на своей платформе.

Официальные бридж-монеты на Gnosis не являются стандартной валютой. Особенностью этих токенов является то, что получателю присылается уведомление о каждой транзакции, и хакеры всегда могут получить это уведомление и начать действовать.

Заключение

Атака на Agave и Hundred Finance не первая и не последняя.

Незадолго до эксплойта на Agave и Hundred Finance, другое DeFi-приложение Cream Finance также пострадало от атаки повторного входа через функцию флэш-кредитов. Атака на Cream Finance привела к потере около $19 миллионов.

Любая хакерская атака имеет негативные последствия. Рыночная цена Agave упала на 25% после объявления об эксплойте, а цена Hundred Finance потеряла 5,8%.

Разработчикам необходимо регулярно обновлять защиту от повторного входа. Нужно изменить протокол управления, чтобы предотвратить использование токенов с функцией обратного вызов для транзакций.

Автор: исследователь Gate.io Valentine A.

*Эта статья содержит только точку зрения исследователей и не является руководством по инвестированию.

*Все права на текст данной статьи принадлежат Gate.io. Репост данной статьи будет разрешен в случае указания Gate.io как источник. В противном случае будет преследоваться юридическая ответственность в связи с нарушением авторских прав.