Agave DAO, Hundred Finance - REKT

Dos forks tuvieron la misma suerte.

Agave DAO, (un fork Aave), y Hundred Finance, (un fork Compound), fueron víctimas del mismo ataque de reentrance.

Agave perdió 2116 ETH ($5,5M) y Hundred Finance 2363 ETH ($6,2M), lo que da un total de $11,7M robados por el atacante anónimo.

Este es el primer ataque que hemos visto en la cadena Gnosis (xDai), y la primera vez que vemos dos protocolos atacados directamente de esta manera.

Sin embargo, considerando la estructura actual de DeFi hoy, el doble daño no es sorprendente.

Forks sobre forks crean un castillo de naipes. Si el código es copied and pasted, las vulnerabilidades pueden encontrarse donde menos se las espera.

Cuando un fork cae, todos los demás tienen que revisar sus cimientos.

Crédito: Daniel Von Fange y Mudit Gupta

Los ataques fueron posibles gracias al diseño del token xDAI que contiene la función callAfterTransfer() creando una vulnerabilidad de reentrance.

Usando flash loans como colateral inicial, los atacantes anidaron funciones de préstamo adicionales una dentro de otra, aumentando la cantidad prestada antes de que el protocolo pudiera actualizar el balance de la deuda. La repetición de este proceso llevó a tomar prestados activos por un valor mucho mayor al del colateral suministrado.

El vector de ataque es el mismo que en el caso de $18.8M de CREAM Finance en agosto pasado.

Agave DAO

Exploit tx (15 de Marzo de 2022 11:25:40 a. m. +1 UTC)

Los fondos robados se enviaron a la address ETH del atacante y, después de unas pocas horas, se enviaron 2116 ETH ($5,5M) a Tornado Cash.

Hundred Finance

Exploit tx (15 de Marzo de 2022 11:28:40 a. m. +1 UTC)

Los fondos robados se enviaron a la address ETH del atacante y, después de unas pocas horas, se enviaron 2363 ETH ($6,2M) a Tornado Cash.

Si bien el precio de HND no se ha visto muy afectado por la noticia, AGVE se desplomó >20%.

El fork de un código fuerte no es suficiente para garantizar la seguridad después de realizar los cambios. Las idiosincrasias de cada nuevo entorno traen consigo nuevas amenazas.

En este caso, el diseño de Gnosis (xDai) reveló peligros ocultos que no se consideraron al portar los protocolos de Ethereum.

Aunque ambos proyectos son forks de protocolos DeFi fundamentales (Aave y Compound), los proyectos originales cuentan con un estricto control para evitar que los tokens con vulnerabilidades de reentrance se utilicen como colateral. Además, como señaló Mudit Gupta, seguir un ”checks-effects-interactions pattern” es otra forma de mitigar que se produzcan estos ataques.

Otra entrada en nuestro leaderboard (#35) y otra lección aprendida de la manera más difícil.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.