es.bitcoinethereumnews.com
El 15 de marzo, un atacante sifonado más de $11 millones de dos DeFi plataformas, Agave y Cien finanzas. Parecía ser un 'ataque de reingreso' de préstamo relámpago en ambos protocolos en el Cadena de gnosis según investigación. Asimismo, las plataformas suspendieron sus contratos para prevenir mayores daños.
Evaluando el daño
Solidity desarrollador y creador de un NFT aplicación de protocolo de liquidez, Shegen eligió destacar el hackeo en una serie de tuits el 16 de marzo. Sorprendentemente, este análisis se produjo después de que la mencionada entidad perdiera 225,000 dólares en el mismo exploit.
Ya ha habido algunos hilos buenos (y algunos malos que hablaron demasiado pronto) en el @Agave_lending y @CienFinanzas hackeos hoy.
Aquí está mi análisis y reflexión, después de haber perdido más de $ 225k del exploit y explorado lo que sucedió 👇
— Shegen (@shegenerates) Marzo 15, 2022
Sus investigaciones preliminares revelaron que el ataque funcionó al explotar una función de contrato wETH en Gnosis Chain. Permitió que el atacante continuara tomando prestadas criptomonedas antes de que las aplicaciones pudieran calcular la deuda, lo que evitaría más préstamos. Ergo, el culpable llevó a cabo dicha hazaña al pedir prestado contra la misma garantía que depositaron hasta que los fondos se agotaron de los protocolos.
Para empeorar las cosas, los fondos no estaban seguros. "Se han ido para siempre, pero todavía hay esperanza", dijo. adicional. Dicho esto, el fundador de Gnosis, Martin Koppelmann, tuiteó para generar cierta certeza en medio del caos. Koppelmann afirmó,
No puedo hacer ninguna promesa, y primero debemos entender realmente lo que sucedió. Pero, en general, apoyaría una propuesta de GnosisDAO que trataría de evitar que los usuarios pierdan fondos, por ejemplo, tomando fondos prestados/invirtiendo fondos en @Agave_lending
— Martin Köppelmann 🇺🇦 (@koeppelmann) Marzo 15, 2022
Después de investigar un poco más, el atacante supuestamente implementó este contrato con 3 funciones; En los bloques 21120283 y 21120284, el hacker utilizó el contrato para interactuar directamente con el protocolo afectado, Agave. El contrato inteligente de Agave era esencialmente el mismo que el de Aave, que aseguró $18.4 millones.
Como no se informó de ningún exploit en AAVE, ¿cómo se podría drenar Agave? Bueno, aquí hay un resumen de cómo se utilizó de forma insegura “sin querer”.
El contrato weth se implementó la primera vez que alguien se mudó a GC. Cada vez que trae un nuevo token al puente, se crea un nuevo contrato de token para él.
La función callAfterTransfer ayuda a evitar que envíe tokens directamente al puente y los pierda para siempre. pic.twitter.com/ZiAZAcTtSI
— Shegen (@shegenerates) Marzo 15, 2022
Dicho pirata informático pudo pedir prestado más que su garantía en agave. Por lo tanto, se va con todos los activos prestables.
Fuente: Twitter
Los activos prestados comprendían 2,728.9 WETH, 243,423 USDC, 24,563 LINK, 16.76 WBTC, 8,400 GNO y 347,787 WXDAI. En total, el hacker se llevó aproximadamente $11 millones.
No obstante, Shegen no culpó a los desarrolladores de Agave por no haber podido evitar el ataque. Ella dijo que los desarrolladores ejecutaron un código seguro basado en AAVE. Aunque usado con tokens inseguros, de una manera insegura.
“Todos los protocolos DeFi en GC deberían cambiar los tokens puente existentes por otros nuevos”, concluyó.
Investigador de seguridad de blockchain Mudit Gupta reiterado una causa similar detrás del exploit.
Agave y Hundred Finance fueron explotados hoy en la cadena Gnosis (anteriormente xDAI).
La razón subyacente del hackeo es que los tokens puente oficiales en Gnosis no son estándar y tienen un enlace que llama al receptor del token en cada transferencia. Esto permite ataques de reentrada. pic.twitter.com/8MU8Pi9RQT
- Mudit Gupta (@Mudit__Gupta) Marzo 15, 2022
Fuente: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/