Agave DAO, Hundred Finance - REKT



Deux forks ont connu le même sort.

Agave DAO, (un fork de Aave), et Hundred Finance, (un fork de Compound), ont tous deux été victimes de la même attaque par réentrance.

Agave a perdu 2116 ETH (5,5 millions de dollars) et Hundred Finance 2363 ETH (6,2 millions de dollars). C'est donc un total de 11,7 millions de dollars qui a été volé par l'assaillant anonyme.

C'est la première attaque que nous voyons sur la blockchain Gnosis (xDai), et la première fois que nous voyons deux protocoles être directement ciblés de telle manière.

Pourtant, compte tenu de la structure actuelle de DeFi, le double dommage n'est pas surprenant.

Les forks de forks génèrent un château de cartes. Si le code est copié et collé, des vulnérabilités peuvent apparaître là où on s'y attend le moins.

Quand un fork tombe, toutes les autres doivent alors vérifier leurs fondations.

Source : Daniel Von Fange et Mudit Gupta

Les attaques ont été rendues possibles en raison de la conception du token xDAI qui contient la fonction callAfterTransfer() créant une vulnérabilité de réentraînement.

En utilisant des flash loans comme collatéral initial, le ou les assaillants ont imbriqué des fonctions d'emprunt supplémentaires les unes dans les autres, accroissant le montant emprunté avant que le protocole ne puisse mettre à jour le solde de la dette. La répétition de ce processus a conduit à emprunter des actifs d'une valeur bien supérieure au collatéral fourni.

Le vecteur d'attaque est le même que dans l'affaire des 18,8 millions de dollars de CREAM Finance en août dernier.

Agave DAO

Tx d'exploit (15 mars 2022 11:25:40 AM +1 UTC)

Les fonds volés ont ensuite été envoyés à l'adresse ETH de l'assaillant puis, quelques heures plus tard, 2116 ETH (5,5 millions de dollars) ont été envoyés sur Tornado Cash.

Hundred Finance

Tx d'exploit (15 mars 2022 11:28:40 AM +1 UTC)

Les fonds volés ont ensuite été envoyés à l'adresse ETH de l'assaillant puis, quelques heures plus tard, 2363 ETH ($6.2M) ont été envoyés sur Tornado Cash.

Si le prix du HND n'a pas trop souffert de la nouvelle, l’AGVE a lui plongé de plus de 20%.

Forker un code robuste n'est pas suffisant pour garantir la sécurité après avoir effectué des modifications. Les particularités de chaque nouvel environnement font apparaître de nouvelles menaces.

En l'espèce, le projet Gnosis (xDai) a révélé des dangers cachés qui n'avaient pas été pris en compte lors du portage des protocoles depuis Ethereum.

Bien que les deux projets soient des forks de deux protocoles fondamentaux de la DeFi (Aave et Compound), les projets originaux ont mis en place un contrôle strict pour éviter que des tokens présentant des vulnérabilités de réentrance soient utilisés comme collatéral. En outre, comme l'a souligné Mudit Gupta, le respect d'un "schéma vérifications-effets-interactions " est un autre moyen d'empêcher que de telles attaques ne se produisent.

Une nouvelle entrée dans notre classement (à la 35e place), et une nouvelle leçon apprise à la dure.


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.