Не один, а два протокола децентрализованных финансов (DeFi) — Agave и Hundred Finance — были использованы в новом случае атаки с повторным входом.
Сообщается, что хакеру удалось перекачать средства на сумму 11 миллионов долларов в Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis и Wrapped XDAI по обоим протоколам DeFi в сети Gnosis, используя эксплойт для мгновенного кредита.
Хаки
Исследуя данные, доступные на Tenderly для обоих нарушений, было обнаружено, что хакер воспользовался ошибкой повторного входа в двух протоколах.
Для непосвященных: «повторный вход» — это уязвимость в языке программирования Solidity, позволяющая злоумышленнику обмануть смарт-контракт протокола, заставив его выполнить внешний вызов ненадежного контракта. После того, как злоумышленник получит контроль над ненадежным контрактом, он может сделать рекурсивные вызовы исходной функции, чтобы опустошить ее средства.
Мудит Гупта, исследователь блокчейна и безопасности, сообщил, что официальные токены Gnosis, подключенные к мосту, являются главным виновником, и заявил, что они «нестандартны и имеют хук, который вызывает получателя токена при каждой передаче». Он добавил, что именно это позволяет проводить атаки с повторным входом.
Agave — это ответвление кредитной платформы DeFi Aave, а мультисетевой кредитный проект Hundred Finance — ответвление Compound. Гупта также заявил, что Compound не следует рекомендуемому шаблону проверки-эффекты-взаимодействия, несмотря на то, что ссылается на него.
Атаки с повторным входом становятся более ошеломляющими, поскольку «код выполняет взаимодействия перед применением эффектов». С другой стороны, Aave пытается следовать вышеупомянутому шаблону проверки-эффекты-взаимодействия. Однако существует путь через ликвидацию, с помощью которого злоумышленник «сломал шаблон» в недавней атаке. Затем он добавил,
«Команды агавы и сотни протоколов напортачили, перечислив токен, который можно повторно ввести. Aave и составное управление активно проверяют повторный вход перед размещением токенов в основной сети, чтобы избежать подобных атак».
Популярная кредитная платформа DeFi Cream Finance, кодовая база которой аналогична кодовой базе Compound, также была использована в атаке с повторным входом в систему на сумму 18,8 млн долларов США в августе прошлого года.
Средства не являются SAFU
По словам разработчика протокола DeFi DanceFloor, «Шеган», средства не в безопасности. Однако Мартин Кеппельманн, основатель Gnosis, сказал, что поддержит меру DAO. Команда Hundred Finance и Agave в настоящее время расследует уязвимости и приостановила контракты.
