Làm thế nào một kẻ tấn công kiếm được hơn 11 triệu đô la từ các giao thức DeFi, Agave và Trăm tài chính

<img onerror = "this.className =` errimg` " src = "1mFromDeFiprotocols_web.jpg" 1mfromdefiprotocols_web.jpg "=" "alt =" "class =" errimg ">

Phát triển tài chính phi tập trung (DeFi) trên mạng blockchain giúp đảm bảo các giao dịch an toàn và nhanh hơn.

Trong khi các nền tảng DeFi có nhiều lợi thế, chúng dễ bị tấn công.

Khi những cuộc tấn công này xảy ra, chúng sẽ dẫn đến việc mất một lượng lớn và làm gián đoạn các giao dịch quan trọng.

Một trong những cuộc tấn công gần đây vào giao thức DeFi đã dẫn đến thiệt hại 11 triệu đô la.

Cuộc tấn công được thực hiện trên chuỗi khối Agave và Hundred Finance.

Các tin tặc đã tung ra một hình thức tấn công lại.

Việc hack re-entrancy cho phép hacker đánh lừa hợp đồng của giao thức để thực hiện một cuộc gọi trực tiếp nhưng bên ngoài tới một hợp đồng không đáng tin cậy.

Là giao thức blockchain phi tập trung, cả Agave và Hundred Finance đều không thể ngăn chặn các mã thông báo có lệnh gọi lại, khiến cuộc tấn công thành công.


Các giao thức phi tập trung tiếp tục tận dụng mạng lưới blockchain để đảm bảo các giao dịch và xác minh nhanh hơn.

Bên cạnh đó, nền tảng Tài chính phi tập trung tiếp tục là lựa chọn tốt nhất để đầu tư, giao dịch quốc tế và phương tiện trao đổi.

Các giao thức DeFi và tất cả các ứng dụng blockchain (nói chung) đều dễ bị tấn công.

Do khoản đầu tư lớn và các giao dịch khổng lồ trên một số địa điểm, các ứng dụng này dễ bị tấn công và truy cập trái phép.

Với tất cả nỗ lực của các nhà phát triển blockchain để liên tục cập nhật kiến trúc bảo mật và đảm bảo xác minh kỹ lưỡng các giao dịch, tin tặc vẫn có cách của họ.

Một cuộc tấn công gần đây đã xảy ra khi các tin tặc bòn rút hơn 11 triệu đô la từ Agave and Hundred Finance.

Bài viết này sẽ cung cấp chi tiết chính xác hơn về cuộc tấn công và cách nó ảnh hưởng đến nền tảng blockchain.

Trước khi chuyển sang cách thực hiện cuộc tấn công, hãy xác định Agave và Hundred Finance.


Agave là gì?

---

Agave là một thương hiệu lớn với một số công ty con và một trong số đó là nền tảng blockchain và tiền điện tử.

Mã thông báo của Agave trên thị trường tiền điện tử là AgaveCoin (AGVE).

Agave là một blockchain được điều hành bởi giao thức Tổ chức tự trị phi tập trung (DAO).

Nền tảng blockchain này thưởng cho người gửi tiền bằng thu nhập thụ động. Người gửi tiền có thể sử dụng tiền gửi của họ làm tài sản thế chấp nợ và cho vay tài sản kỹ thuật số.

Đồng tiền này là một mã thông báo tiện ích 100% sẽ cho phép những người chơi trong ngành và các bên liên quan tham gia và đầu tư.

AgaveCoin là một giao thức tài chính phi tập trung sẽ cho phép giao dịch thương mại, thanh toán và các sản phẩm nông nghiệp.

Là chủ sở hữu mã thông báo AGVE, bạn có quyền biểu quyết để định hướng chiến lược và đưa ra quyết định.

Agave được xây dựng trên chuỗi Gnosis, lớp Ethereum 2 (chuỗi bên EVM).

AGVE là một mã thông báo duy nhất vì nó cho phép mua và giao dịch các dịch vụ Nông nghiệp trong tất cả các chuỗi sản xuất của ngành Agave.

Agave là một giao thức cho vay và tiền không giám sát sử dụng mạng lưới blockchain.


Trăm Tài Chính Là Gì?

---

Hundred Finance là một ứng dụng Tài chính phi tập trung (DeFi) khác trên blockchain.

Trăm Tài chính là một Ứng dụng phi tập trung (dApp) cho phép bạn cho vay và mượn tiền điện tử.

Ứng dụng blockchain này có mã thông báo tiền điện tử để giao dịch và trao đổi, mã thông báo HND.

Lãi suất trên HND được tính toán và biểu thị trên mỗi mã thông báo dưới dạng Lợi nhuận phần trăm hàng năm (APY).

Trăm Tài chính là một giao thức đa chuỗi tích hợp với các chuỗi liên kết chuỗi. Thông tin đảm bảo sự ổn định và lành mạnh của thị trường với sự chuyên môn hóa trong việc phục vụ các tài sản dài hạn.

Trăm Tài chính là sự kế thừa của Tài chính Phần trăm.

Kể từ khi ra mắt công nghệ blockchain, Hundred Finance đã hợp tác với Chainlink Oracle, Beethoven, Immunefi, Spookywap và những người khác.


Sau khi làm quen với AGVE và HND như các ứng dụng blockchain và mã thông báo tiền điện tử, chúng ta hãy đi sâu vào cuộc tấn công đã làm mất 11 triệu đô la trên cả hai nền tảng blockchain.


Cuộc tấn công Agave And Hundred Finance

---

Không gian tiền điện tử đã trở nên điên cuồng khi các quản trị viên tài chính của Agave và Hundred đã tweet rằng ví tương ứng của họ đã bị khai thác.

Có thông tin cho rằng hacker đã kiếm được khoảng 11 triệu đô la trong Wrapped ETH (wETH), Wrapped BTC (wBTC), chuỗi liên kết (LINK), USD Coin (USDC), Gnosis (GNO) và XDAI (wxDAI).

Vụ hack là một cuộc tấn công gần đây trên cả Agave và Hundred Finance.

Cuộc tấn công re-entrancy là điểm yếu của ngôn ngữ lập trình vững chắc. Lỗ hổng này cho phép tin tặc đánh lừa hợp đồng của giao thức để thực hiện một cuộc gọi trực tiếp nhưng bên ngoài đến một hợp đồng không đáng tin cậy.

Cuộc gọi (thực tế) được thực hiện một lần; sau đó, tin tặc sẽ sử dụng hợp đồng đáng ngờ để thực hiện lặp đi lặp lại các cuộc gọi theo kiểu tương tự và bòn rút tiền của giao thức.

Trong trường hợp một cuộc tấn công vào Agave và Hundred Finance, cuộc điều tra cho thấy rằng hacker đã tung ra một lỗi gần đây trên cả hai ứng dụng blockchain.

Lỗi này ngay lập tức cho phép khai thác khoản vay nhanh. Vì mô hình giống nhau, lỗi này cho phép tin tặc tiếp tục mượn các giao thức.

Ngoài ra, hacker đã liên tục thực hiện các cuộc gọi rút tiền mà không cần thêm tài sản thế chấp. Cuộc điều tra cuối cùng cho thấy rằng địa chỉ của tin tặc đã gửi hơn 2.100 ETH với tổng trị giá khoảng 5,5 triệu đô la cho một kẻ rửa tiền điện tử.

Các chuyên gia tin rằng một số lý do có thể đã gây ra vụ tấn công. Một số trong số họ bao gồm?


Những lý do thành công của cuộc tấn công

---

Lý do thành công của cuộc tấn công tương đối đơn giản và dễ phát hiện. Chúng bao gồm;

Các nhà phát triển của Agave đã tạo điều kiện cho các mã thông báo có lệnh gọi lại được sử dụng cho các giao dịch trên nền tảng của nó.
Các đồng tiền cầu nối chính thức trên Gnosis không phải là tiêu chuẩn. Các mã thông báo này có một móc thông báo cho người nhận mã thông báo về mỗi lần chuyển và tin tặc luôn có thể nhận được thông báo này và ngay lập tức hành động.


Sự kết luận

---

Cuộc tấn công vào Agave and Hundred Finance không phải là lần đầu tiên và sẽ không phải là lần cuối cùng.

Một thời gian ngắn trước cuộc tấn công Reentrancy của Agave và Trăm tài chính, Cream Finance, một ứng dụng DeFi tương tự, đã chứng kiến một cuộc tấn công tái xuất khoản vay hồi tưởng. Cuộc tấn công vào Cream Finance đã dẫn đến việc tiêu tốn khoảng 19 triệu đô la.

Tác động của cuộc tấn công luôn rất lớn. Khi Agave thông báo về cuộc tấn công, giá thị trường của nó đã giảm 25%, trong khi Hundred Finance giảm 5,8%.

Mặc dù các sự kiện là không may, nhưng các nhà phát triển cần nâng cấp khả năng bảo vệ tái xuất của họ. Các nhà phát triển nên thay đổi giao thức quản trị để ngăn chặn các mã thông báo có lệnh gọi lại cho các giao dịch.



Tác giả: Valentin A. , Nhà nghiên cứu Gate.io
Bài viết này chỉ trình bày quan điểm của nhà nghiên cứu và không cấu thành bất kỳ đề xuất đầu tư nào.
Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham khảo Gate.io. Trong mọi trường hợp, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.