ДАО Agave, Hundred Finance - REKT

Два форка постигла одна и та же участь.

ДАО Agave (форк протокола Aave) и Hundred Finance (форк протокола Compound) стали жертвой одной и той же атаки с использованием повторного входа.

2116 ETH ($5.5M) было потеряно в Agave, и 2363 ETH ($6.2M) в Hundred Finance, принеся анонимному хакеру в общей сложности $11.7M.

Это первая атака, которую мы наблюдаем в чейне Gnosis (xDai), и впервые мы видим, как два протокола стали мишенями подобным образом.

Однако, учитывая структуру DeFi на сегодняшний день, двойные потери неудивительны.

Форки форков порождают карточные домики. Код копируется и вставляется, уязвимости могут обнажиться там, где их меньше всего ожидают.

Когда падает один форк, все остальные должны проверить свои фундаменты.

Источник: Daniel Von Fange и Mudit Gupta

Атаки стали возможными из-за дизайна токена xDai, который содержит функцию callAfterTransfer(), в результате чего становится возможной атака повторного входа.

Использовав флэш-займы в качестве первичного коллатерала, злоумышленник(и) заложил дополнительные функции займов друг в друге, увеличив взятую в долг сумму до того, как протокол мог обновить баланс долга. Повторение этого процесса привело к взятию в долг активов стоимостью выше суммы предоставленного коллатерала.

Вектор атаки тот же, что и в случае с кражей $18.8M из CREAM Finance в августе прошлого года.

ДАО Agave

Транзакция эксплоита (15 марта 2022 11:25:40 утра +1 UTC)

После этого украденные фонды были переведены на ETH-адрес хакера, и через несколько часов 2116 ETH ($5.5M) были переведены в Tornado Cash.

Hundred Finance

Транзакция эксплоита (15 марта 2022 11:28:40 утра +1 UTC)

После этого украденные фонды были переведены на ETH-адрес хакера, и через несколько часов 2363 ETH ($6.2M) были переведены в Tornado Cash.

Цена HND не очень сильно пострадала от этой новости, а вот AGVE обвалился на >20%.

Сделать форк сильного кода недостаточно, чтобы обеспечить безопасность после того, как были сделаны изменения. Идиосинкразия каждой новой среды несет в себе новые угрозы.

В данном случае в дизайне Gnosis (xDai) обнаружились скрытые угрозы, не учтенные при переносе протоколов из Эфириума.

Хотя оба проекта являются форками основополагающих протоколов DeFi (Aave и Compound), в оригинальных проектах проводятся строгие проверки, чтобы избежать использования токенов с уязвимостями повторного входа в качестве залога. К тому же, Mudit Gupta обратил внимание на то, что следование схеме “checks-effects-interactions” является еще одним способом предотвратить подобные атаки.

Еще одно пополнение в нашем рейтинге (#35), и еще один горький опыт.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.