AGAVE DAO, HUNDRED FINANCE - REKT

İki çatal aynı kaderi paylaştı.

Agave DAO (Aave çatalı) ve Hundred Finance (Compound çatalı), ikisi de aynı yeniden giriş (reentrancy) saldırısının kurbanı oldu.

Agave'den 2116 ETH (5,5 milyon dolar) ve Hundred Finance'ten 2363 ETH (6,2 milyon dolar) ile birlikte anonim bir saldırgan tarafından toplamda 11,7 milyon dolar çalınmış oldu.

Bu saldırı, Gnosis (xDai) zincirinde gördüğümüz ilk saldırı ve ilk kez iki protokolün doğrudan bu şekilde hedef alındığını görüyoruz.

Ancak DeFi'ın bugünkü yapısı düşünüldüğünde bu çifte hasar pek de şaşırtıcı değil.

Çatallar üstüne çatallar iskambilden ev yapmaya benzer. Kod kopyalanıp yapıştırılırsa, güvenlik açıkları bakmayacağınız yerlerde ortaya çıkabilir.

Bir çatal yere düştüğünde, diğerlerinin de temellerini hemen kontrol etmesi gerekir.

Kaynak: Daniel Von Fange ve Mudit Gupta

Saldırılar, yeniden giriş güvenlik açığı oluşturan callAfterTransfer() fonksiyonunu içeren xDAI tokenının tasarımı yüzünden mümkün oldu.

Saldırgan(lar) ilk teminat olarak flash loanları kullanıp, protokol borç bakiyesini güncellemeden önce borç alınan miktarı artırarak, ek borç alma fonksiyonunu iç içe yerleştirdi. Bu sürecin tekrarlanması, sağlanan teminattan çok daha fazla değerde varlıkların borç alınmasına yol açtı.

Saldırı vektörü, geçen Ağustos ayında 18,8 milyon dolarlık CREAM Finance vakasıyla aynı.

Agave DAO

Exploit işlemi (Mart-15-2022 11:25:40 +1 UTC)

Çalınan fonlar daha sonra saldırganın ETH adresine gönderildi ve birkaç saat sonra 2116 ETH (5,5 milyon dolar) Tornado Cash'e gönderildi.

Hundred Finance

Exploit işlemi (Mart-15-2022 11:28:40 +1 UTC)

Çalınan fonlar daha sonra saldırganın ETH adresine gönderildi ve birkaç saat sonra 2363 ETH (6,2 milyon dolar) Tornado Cash'e gönderildi.

HND'nin fiyatı haberlerden çok fazla zarar görmese de AGVE >%20 düştü.

Güvenliği sağlamak için güçlü kodları olan bir protokolü çatallayıp üzerinde birkaç değişiklikler yapmak yeterli değildir. Her yeni ortamın kendine özgü yapısal özellikleri yeni tehditler getirir.

Bu olayda, Gnosis’in (xDai) tasarımı, protokolleri Ethereum'dan taşırken dikkate alınmayan gizli tehlikeleri ortaya çıkardı.

Her iki proje de temel DeFi protokollerinden (Aave ve Compound) çatallar olsa da, orijinal projeler, yeniden giriş güvenlik açıklarına sahip tokenlerin teminat olarak kullanılmasını önlemek için halihazırda sıkı incelemeye sahiptir. Ayrıca, Mudit Gupta'nın da işaret ettiği gibi, bir “checks-effects-interactions pattern” (kontrol-etki-etkileşim modeli)'ni takip etmek, bu tür saldırıların gerçekleşmesini önlemenin başka bir yoludur.

Sıralamamıza (#35) bir başka giriş ve zor yoldan öğrenilen bir başka ders daha.

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.