Хакер вивів понад $11 млн з DeFi-протоколів Agave та Hundred Finance

Розвиток децентралізованих фінансів (DeFi) у блокчейні допомагає забезпечити безпечні та швидкі транзакції.

Незважаючи на безліч переваг платформи DeFi схильні до атак, при яких відбувається розкрадання величезних сум і порушуються важливі транзакції.

Одна із недавніх атак на протоколи DeFi Agave та Hundred Finance призвела до втрати $11 мільйонів. Хакери здійснили атаку повторного входу.

При зломі повторного входу хакер обманним шляхом змушує контракт протоколу здійснити прямий виклик ненадійному контракту.

Децентралізовані блокчейн-протоколи Agave та Hundred Finance не змогли блокувати токени з функцією зворотного виклику, тому атака пройшла успішно.

Децентралізовані протоколи продовжують використовувати блокчейн для забезпечення швидших транзакцій та верифікації. Крім цього, платформи децентралізованих фінансів чудово підходять для інвестицій, міжнародних транзакцій та обміну коштів.

Протоколи DeFi і всі програми на блокчейні в цілому піддаються атакам. Оскільки у великих інвестиціях та транзакціях задіяно кілька сторін, ці програми вразливі до експлойтів та несанкціонованого доступу.

Хоча розробники блокчейнів постійно оновлюють архітектуру безпеки, щоб забезпечити ретельну перевірку транзакцій, хакери все одно знаходять способи вчиняти незаконні та зловмисні дії. Як, наприклад, недавній експлойт, коли хакери вивели понад $11 млн із Agave та Hundred Finance.

У цій статті ми надамо більш точні відомості про атаку та про те, як вона вплинула на блокчейн-спільноту.

Перш ніж перейти до того, як атака відбулася, давайте детальніше розглянемо протоколи Agave та Hundred Finance.

Протокол Agave

Agave – це великий бренд із кількома дочірніми компаніями. Проте сьогодні ми розглянемо лише блокчейн-платформу та криптовалюту.

Токен Agave – це AgaveCoin (AGVE). Agave – це блокчейн, яким управляє децентралізована автономна організація (DAO).

На цій блокчейн-платформі вкладники отримують пасивний дохід через використання своїх депозитів як забезпечення боргу та надання цифрових активів у кредит.

AGVE – це службовий токен, за допомогою якого інвестори та стейкхолдери оперують у проекті. AgaveCoin – це децентралізований фінансовий протокол, за допомогою якого можна здійснювати торгівлю, переводи та операції із сільськогосподарською продукцією. Власники токена AGVE мають право голосу для розробки стратегії та прийняття рішень.

Протокол Agave побудований на блокчейні Gnosis, Ethereum L2 (сайдчейн EVM).

AGVE - це унікальний токен, оскільки за його допомогою можна купувати та продавати сільськогосподарські послуги у всіх виробничих ланцюжках індустрії Agave.

Agave – це некастодіальний протокол фінансування та кредитування, який використовує мережу блокчейнів.

Протокол Hundred Finance

Hundred Finance — ще одна програма для децентралізованих фінансів (DeFi) на блокчейні.

Hundred Finance - це децентралізований додаток (dApp), через яке можна позичати і позичати криптовалюти.

Цей блокчейн-додаток має свій токен HND для транзакцій та обміну. Процентна ставка для HND розраховується для кожного токену та виражається у відсотках від річної прибутковості (APY).

Hundred Finance – це мультичейн-протокол, що інтегрується з оракулами Chainlink. Інформація забезпечує здоров'я та стабільність ринку, в основному фокусуючись на обслуговуванні довгострокових активів.

Hundred Finance є наступником Percent Finance.

З моменту запуску технології блокчейну Hundred Finance співпрацювала з оракулами Chainlink, Beethoven, Immunefi, Spookywap та іншими.

Ми надали базову інформацію про блокчейн-додатки Agave та Hundred Finance та їх токени, а тепер давайте розберемо як стався експлойт, який призвів до втрати $11 млн на обох платформах.

Атака на Agave та Hundred Finance

Весь криптовалютний простір знову обурився, коли Agave і Hundred Finance повідомили у Твіттері про експлойт.

У твітах говорилося, що хакер втік приблизно з $11 мільйонами в Wrapped ETH (wETH), Wrapped BTC (wBTC), chainlink (LINK), USD Coin (USDC), Gnosis (GNO) і Wrapped XDAI (wxDAI).

На обидва протоколи Agave та Hundred Finance було здійснено атаку повторного входу.

Атака повторного входу — це слабкість мови програмування Solidity, якою хакер може обдурити контракт протоколу, щоб зробити прямий зовнішній виклик ненадійного контракта.

Фактичний виклик робиться один раз, і після цього хакер використовує ненадійний контракт для повторних викликів за аналогічним шаблоном для викачування коштів із протоколу.

У разі атаки на Agave та Hundred Finance розслідування показало, що хакер запустив баг повторного входу в обох блокчейнах, який дозволив здійснити експлойт через флеш-кредити. І далі за цим же шаблоном хакер продовжив обкрадати протоколи.

Крім того, хакер виводив кошти без надання додаткової застави. Розслідування зрештою показало, що адреса хакера надіслала відмивачу криптовалют понад 2100 ETH на загальну суму близько $5,5 мільйонів.

Експерти вважають, що причин нападу могло бути кілька. Ось деякі з них:

Причини успіху атаки

Розробники Agave дозволяють використовувати токени із функцією зворотного виклику для транзакцій на своїй платформі.

Офіційні бридж-монети на Gnosis не є стандартною валютою. Особливістю цих токенів є те, що одержувачу надсилається повідомлення про кожну транзакцію, і хакери завжди можуть отримати це повідомлення та почати діяти.

Висновок

Атака на Agave та Hundred Finance не перша і не остання.

Незадовго до експлойту на Agave та Hundred Finance, інший DeFi-додаток Cream Finance також постраждав від атаки повторного входу через функцію флеш-кредитів. Атака на Cream Finance призвела до втрати близько $19 мільйонів.

Будь-яка хакерська атака має негативні наслідки. Ринкова ціна Agave впала на 25% після оголошення про експлойт, а ціна Hundred Finance втратила 5,8%.

Розробникам необхідно регулярно оновлювати захист від повторного входу. Потрібно змінити протокол керування, щоб запобігти використанню токенів із функцією зворотного виклику для транзакцій.

Автор: дослідник Gate.io Valentine A.

*Ця стаття містить лише точку зору дослідників і не є посібником з інвестування.

*Всі права на текст цієї статті належать Gate.io. Репост цієї статті буде дозволено у разі зазначення Gate.io як джерело. В іншому випадку буде переслідуватись юридична відповідальність у зв'язку з порушенням авторських прав.