วิธีที่ผู้โจมตีใช้เงินกว่า 11 ล้านดอลลาร์จากโปรโตคอล DeFi, Agave และ Hundred Finance

<img onerror="this.className=`errimg`" src="1mFromDeFiprotocols_web.jpg" 1mfromdefiprotocols_web.jpg"="" alt="" class="errimg">

การพัฒนาการเงินแบบกระจายอำนาจ (DeFi) บนเครือข่ายบล็อคเชนช่วยให้ธุรกรรมปลอดภัยและรวดเร็วยิ่งขึ้น

แม้ว่าแพลตฟอร์ม DeFi จะมีข้อได้เปรียบมากมาย แต่ก็มีแนวโน้มที่จะถูกโจมตี

เมื่อการโจมตีเหล่านี้เกิดขึ้น จะนำไปสู่การสูญเสียจำนวนมหาศาลและการหยุดชะงักของธุรกรรมที่สำคัญ

หนึ่งในการโจมตีล่าสุดบนโปรโตคอล DeFi ทำให้เกิดการสูญเสีย 11 ล้านดอลลาร์

การโจมตีเกิดขึ้นบนบล็อกเชนของ Agave และ Hundred Finance

แฮกเกอร์เปิดรูปแบบการโจมตีอีกครั้ง

การแฮ็กกลับเข้ามาใหม่ช่วยให้แฮ็กเกอร์สามารถหลอกลวงสัญญาของโปรโตคอลเพื่อทำการเรียกโดยตรงแต่ภายนอกไปยังสัญญาที่ไม่น่าเชื่อถือ

ด้วยโปรโตคอลบล็อกเชนแบบกระจายอำนาจ ทั้ง Agave และ Hundred Finance จึงไม่สามารถป้องกันโทเค็นด้วยการโทรกลับได้ ทำให้การโจมตีประสบความสำเร็จ


โปรโตคอลแบบกระจายอำนาจยังคงใช้ประโยชน์จากเครือข่ายบล็อคเชนเพื่อให้แน่ใจว่าธุรกรรมและการตรวจสอบจะเร็วขึ้น

นอกจากนั้น แพลตฟอร์ม Decentralized Finance ยังเป็นตัวเลือกที่ดีที่สุดสำหรับการลงทุน ธุรกรรมระหว่างประเทศ และวิธีการแลกเปลี่ยน

โปรโตคอล DeFi และแอพบล็อคเชนทั้งหมด (โดยทั่วไป) มีแนวโน้มที่จะถูกโจมตี

เนื่องจากการลงทุนจำนวนมากและธุรกรรมมหาศาลในหลายสถานที่ แอปเหล่านี้จึงมีแนวโน้มที่จะถูกโจมตีและเข้าถึงโดยไม่ได้รับอนุญาต

ด้วยความพยายามทั้งหมดโดยนักพัฒนาบล็อกเชนในการอัปเดตสถาปัตยกรรมความปลอดภัยอย่างต่อเนื่องและรับรองการตรวจสอบธุรกรรมอย่างละเอียด แฮ็กเกอร์ยังคงมีทางของพวกเขา

การโจมตีครั้งล่าสุดครั้งหนึ่งเกิดขึ้นเมื่อแฮ็กเกอร์ดูดกลืนเงินกว่า 11 ล้านดอลลาร์จาก Agave และ Hundred Finance

บทความนี้จะให้รายละเอียดที่แม่นยำยิ่งขึ้นเกี่ยวกับการโจมตีและผลกระทบต่อแพลตฟอร์มบล็อคเชนอย่างไร

ก่อนเริ่มดำเนินการโจมตี เราจะมานิยาม Agave และ Hundred Finance กันก่อน


Agave คืออะไร?

---

Agave เป็นแบรนด์ใหญ่ที่มีบริษัทในเครือหลายแห่ง และหนึ่งในนั้นคือแพลตฟอร์มบล็อกเชนและสกุลเงินดิจิทัล

โทเค็นของ Agave ในตลาด crypto คือ AgaveCoin (AGVE)

Agave เป็นบล็อกเชนที่ดำเนินการโดยโปรโตคอล Decentralized Autonomous Organization (DAO)

แพลตฟอร์ม blockchain นี้ให้รางวัลแก่ผู้ฝากด้วยรายได้แบบพาสซีฟ ผู้ฝากสามารถใช้เงินฝากของตนเป็นหลักประกันหนี้และให้ยืมสินทรัพย์ดิจิทัล

เหรียญนี้เป็นโทเค็นยูทิลิตี้ 100% ที่จะช่วยให้ผู้เล่นในอุตสาหกรรมและผู้มีส่วนได้ส่วนเสียเข้าร่วมและลงทุนได้

AgaveCoin เป็นโปรโตคอลทางการเงินแบบกระจายอำนาจที่จะเปิดใช้งานธุรกรรมการค้า การชำระเงิน และสินค้าเกษตร

ในฐานะผู้ถือโทเค็น AGVE คุณมีอำนาจลงคะแนนในการขับเคลื่อนกลยุทธ์และตัดสินใจ

Agave สร้างขึ้นบนสายโซ่ Gnosis ซึ่งเป็นเลเยอร์ Ethereum 2 (สายด้านข้าง EVM)

AGVE เป็นโทเค็นที่ไม่เหมือนใครเพราะช่วยให้สามารถซื้อและทำธุรกรรมบริการทางการเกษตรได้ในทุกห่วงโซ่การผลิตของอุตสาหกรรม Agave

Agave เป็นโปรโตคอลการให้กู้ยืมเงินและการให้กู้ยืมที่ไม่เกี่ยวกับทรัพย์สินทางปัญญาซึ่งใช้ประโยชน์จากเครือข่ายบล็อคเชน


การเงินร้อยคืออะไร?

---

Hundred Finance เป็นแอพ Decentralized Finance (DeFi) อีกตัวหนึ่งในบล็อกเชน

Hundred Finance คือ Decentralized Application (dApp) ที่ให้คุณยืมและยืมสกุลเงินดิจิทัล

แอพบล็อคเชนนี้มีโทเค็นสกุลเงินดิจิทัลสำหรับธุรกรรมและการแลกเปลี่ยน โทเค็น HND

อัตราดอกเบี้ยของ HND คำนวณและแสดงต่อโทเค็นเป็นอัตราผลตอบแทนต่อปี (APY)

Hundred Finance เป็นโปรโตคอลแบบ multi-chain ที่รวมเข้ากับ oracles ของ Chain Link ข้อมูลช่วยให้มั่นใจถึงความสมบูรณ์ของตลาดและความมั่นคงด้วยความเชี่ยวชาญในการให้บริการสินทรัพย์ระยะยาว

Hundred Finance เป็นผู้สืบทอดต่อ Percent Finance

นับตั้งแต่เปิดตัวเทคโนโลยีบล็อกเชน Hundred Finance ได้ร่วมมือกับ Chainlink Oracle, Beethoven, Immunefi, Spookywap และอื่นๆ


หลังจากทำความคุ้นเคยกับ AGVE และ HND ในฐานะแอพบล็อกเชนและโทเค็น crypto แล้ว มาดูการโจมตีที่สูญเสีย 11 ล้านดอลลาร์ในทั้งสองแพลตฟอร์มบล็อกเชน


การโจมตีทางการเงินของ Agave And Hundred

---

พื้นที่คริปโตเคอเรนซีเกิดความโกลาหลเมื่อ Agave และ Hundred Finance Admins ทวีตว่ากระเป๋าเงินของพวกเขาถูกใช้ไปในทางที่ผิด

มีรายงานว่าแฮ็กเกอร์ทำเงินได้ประมาณ 11 ล้านดอลลาร์ใน Wrapped ETH (wETH), Wrapped BTC (wBTC), chain link (LINK), USD Coin (USDC), Gnosis (GNO) และ Wrapped XDAI ( wxDAI)

การแฮ็กครั้งนี้เป็นการจู่โจมทั้ง Agave และ Hundred Finance อีกครั้ง

การโจมตีกลับเข้ามาใหม่เป็นจุดอ่อนของภาษาโปรแกรมที่มีความแข็งแกร่ง ช่องโหว่นี้ทำให้แฮ็กเกอร์สามารถหลอกลวงสัญญาของโปรโตคอลเพื่อทำการเรียกโดยตรงแต่ภายนอกไปยังสัญญาที่ไม่น่าเชื่อถือ

การโทร (จริง) จะทำครั้งเดียว หลังจากนั้นแฮ็กเกอร์จะใช้สัญญาที่น่าสงสัยเพื่อโทรซ้ำในรูปแบบที่คล้ายกันและดูดเงินโปรโตคอลออกไป

ในกรณีของการโจมตี Agave และ Hundred Finance การสอบสวนพบว่าแฮ็กเกอร์เปิดตัวจุดบกพร่องในการกลับเข้ามาใหม่ในแอปบล็อคเชนทั้งสอง

ข้อผิดพลาดนี้อนุญาตให้ใช้การยืมแฟลชในทันที เนื่องจากรูปแบบเหมือนกัน บั๊กจึงทำให้แฮกเกอร์สามารถขอยืมจากโปรโตคอลได้

นอกจากนี้ แฮ็กเกอร์ยังทำการเรียกถอนเงินทุนอย่างต่อเนื่องโดยไม่ต้องวางหลักประกันเพิ่มเติม ในที่สุดการสอบสวนพบว่าที่อยู่ของแฮ็กเกอร์ได้ส่ง ETH ไปแล้วกว่า 2,100 ETH รวมเป็นเงินประมาณ 5.5 ล้านดอลลาร์ให้กับผู้ฟอกเงินคริปโต

ผู้เชี่ยวชาญเชื่อว่าสาเหตุหลายประการอาจทำให้เกิดการโจมตีได้ บางส่วนของพวกเขารวมถึง?


เหตุผลสำหรับความสำเร็จของการโจมตี

---

สาเหตุของความสำเร็จของการโจมตีนั้นค่อนข้างง่ายและง่ายต่อการตรวจจับ ได้แก่

นักพัฒนา Agave ทำให้สามารถใช้โทเค็นที่มีการเรียกกลับสำหรับการทำธุรกรรมบนแพลตฟอร์มของตนได้
เหรียญเชื่อมอย่างเป็นทางการของ Gnosis ไม่ได้มาตรฐาน โทเค็นเหล่านี้มีตะขอที่แจ้งผู้รับโทเค็นทุกครั้งที่โอน และแฮกเกอร์สามารถรับการแจ้งเตือนนี้และดำเนินการได้ทันที


บทสรุป

---

การโจมตี Agave และ Hundred Finance ไม่ใช่ครั้งแรกและจะไม่ใช่ครั้งสุดท้าย

ไม่นานก่อนการโจมตี Reentrancy ทางการเงินของ Agave และ Hundred Cream Finance ซึ่งเป็นแอป DeFi ที่คล้ายคลึงกัน ได้เห็นการโจมตีย้อนกลับของเงินกู้ย้อนหลัง การโจมตีครีมไฟแนนซ์ทำให้เกิดกาลักน้ำประมาณ 19 ล้านดอลลาร์

ผลกระทบของการโจมตีนั้นยิ่งใหญ่เสมอ เมื่อ Agave ประกาศการโจมตี ราคาตลาดของมันลดลง 25% ในขณะที่ Hundred Finance ลดลง 5.8%

แม้ว่าเหตุการณ์จะไม่ค่อยดีนัก แต่ก็ควรที่นักพัฒนาซอฟต์แวร์จะอัปเกรดยามเข้าใหม่ นักพัฒนาควรเปลี่ยนโปรโตคอลการกำกับดูแลเพื่อป้องกันโทเค็นที่มีการเรียกกลับสำหรับธุรกรรม



ผู้แต่ง: Valentin A. , Gate.io นักวิจัย
บทความนี้เป็นเพียงความคิดเห็นของผู้วิจัยเท่านั้น และไม่ถือเป็นข้อเสนอแนะในการลงทุนใดๆ
Gate.io ขอสงวนสิทธิ์ทั้งหมดในบทความนี้ อนุญาตให้โพสต์บทความใหม่ได้หากมีการอ้างอิง Gate.io ในทุกกรณี การดำเนินการทางกฎหมายจะถูกดำเนินการเนื่องจากการละเมิดลิขสิทธิ์