Гуравдугаар сарын 15-нд халдлага үйлдсэн сифон хийсэн хоёроос 11 сая гаруй доллар DEFI платформууд, Агав болон Зуун санхүү. Энэ нь дээрх хоёр протокол дээр зээлийн "дахин орох халдлага" байсан бололтой Gnosis хэлхээ мөрдөн байцаалтын дагуу. Үүний нэгэн адил платформууд цаашид хохирол учруулахгүйн тулд гэрээгээ зогсоов.
Хохирлыг үнэлэх
Solidity хөгжүүлэгч, бүтээгч NFT хөрвөх чадварын протоколын програм, Шэгэн 16-р сарын 225,000-нд хэд хэдэн жиргээгээр хакердсаныг онцлохоор сонгосон. Гайхалтай нь, дээр дурдсан аж ахуйн нэгж ижил мөлжлөгт XNUMX доллар алдсаны дараа ийм дүн шинжилгээ хийсэн.
Хэд хэдэн сайн сэдвүүд аль хэдийн (мөн зарим муу сэдвүүд хэтэрхий эрт ярьсан) байна @Agave_lending болон @HundredFinance өнөөдөр хакердсан.
Дөнгөж сая мөлжлөгөөс 225 мянга гаруй доллар алдаж, юу болсныг судалсны дараа хийсэн дүн шинжилгээ, эргэцүүлэл энд байна уу?
— Шэгэн (@shegenerates) Гуравдугаар сарын 15, 2022
Түүний урьдчилсан мөрдөн байцаалтын явцад халдлага нь Gnosis Chain дээрх wETH гэрээний функцийг ашигласнаар хийгдсэн болохыг тогтоожээ. Энэ нь програмууд өрийг тооцохоос өмнө халдагчид криптог үргэлжлүүлэн зээлэх боломжийг олгосон бөгөөд энэ нь цаашид зээл авахаас сэргийлнэ. Тиймээс, гэмт хэрэгтэн протоколоос мөнгө гарах хүртэл байршуулсан барьцаа хөрөнгөө зээлж, дээрх мөлжлөгийг үүрсэн.
Бүр дордуулахын тулд хөрөнгө найдвартай биш байсан. "Тэд бараг үүрд алга болсон ч найдвар байсаар байна" гэж тэр хэлэв нэмсэн. Гносисын үүсгэн байгуулагч Мартин Коппелманн эмх замбараагүй байдлын дунд тодорхой байдлыг бий болгохын тулд жиргэжээ. Коппелманн мэдэгдэв.
ямар ч амлалт өгөх боломжгүй, эхлээд юу болсныг ойлгох хэрэгтэй. Гэхдээ би GnosisDAO-ийн саналыг ерөнхийд нь дэмжиж байгаа бөгөөд энэ нь хэрэглэгчдэд мөнгө зээлэх/хөрөнгө оруулалт хийх замаар хөрөнгөө алдахаас урьдчилан сэргийлэхийг хичээх болно. @Agave_lending
- Мартин Коппелманн ?? (@koeppelmann) Гуравдугаар сарын 15, 2022
Нэмэлт судалгаа хийсний дараа халдагчид энэхүү гэрээг 3 функцтэй байршуулсан гэж таамаглаж байна; 21120283 ба 21120284 блокуудад хакер нөлөөлөлд өртсөн Agave протоколтой шууд харилцахын тулд гэрээг ашигласан. Agave дээрх ухаалаг гэрээ нь 18.4 тэрбум долларын баталгаатай Aave-тай үндсэндээ ижил байсан.
Учир нь мөлжлөгийн талаар мэдээлээгүй АВАХ, Агавыг яаж шавхах вэ? За энд байна а хураангуй хэрхэн "санаагүйгээр" аюултай байдлаар ашигласан тухай.
Weth гэрээг хэн нэгэн weth GC руу нүүж ирэхэд анх удаа суулгасан. Гүүрэн дээгүүр шинэ токен авчрах бүрт түүнд зориулж шинэ токен гэрээ үүснэ.
CallAfterTransfer функц нь таныг жетоныг гүүр рүү шууд илгээж, үүрд алдахаас сэргийлнэ. pic.twitter.com/ZiAZAcTtSI
— Шэгэн (@shegenerates) Гуравдугаар сарын 15, 2022
Дээрх хакер нь агава дахь барьцаанаас илүү зээл авах боломжтой байсан. Ингэснээр бүх зээлсэн хөрөнгөө аваад явчихна.
Зээл авсан хөрөнгө нь 2,728.9 WETH, 243,423 USDC, 24,563 LINK, 16.76 WBTC, 8,400 GNO, 347,787 WXDAI-аас бүрдэнэ. Нийтдээ хакер ойролцоогоор 11 сая доллар олсон байна.
Гэсэн хэдий ч Шеген Agave хөгжүүлэгчид халдлагаас урьдчилан сэргийлж чадаагүйд буруутгаагүй. Тэрээр хэлэхдээ, хөгжүүлэгчид AAVE-д суурилсан аюулгүй, найдвартай код ажиллуулсан. Хэдийгээр ашигласан аюултай жетонтой, найдваргүй арга замаар.
"GC дээрх бүх DeFi протоколууд нь одоо байгаа гүүрэн токенуудыг шинээр солих ёстой" гэж тэр дүгнэв.
Блокчейн аюулгүй байдлын судлаач Мудит Гупта дахин давтагдсан мөлжлөгийн цаана ижил төстэй шалтгаан байна.
Agave болон Hundred Finance-г өнөөдөр Gnosis сүлжээ (хуучин xDAI) дээр ашигласан.
Хакердсан гол шалтгаан нь Gnosis дээрх албан ёсны гүүрэн токенууд нь стандарт бус бөгөөд шилжүүлэг болгонд токен хүлээн авагчийг дууддаг дэгээтэй байдаг. Энэ нь дахин нэвтрэх халдлага хийх боломжийг олгодог. pic.twitter.com/8MU8Pi9RQT
- Мудит Гупта (@Mudit__Gupta) Гуравдугаар сарын 15, 2022
Эх сурвалж: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/