Agave和Hundred Finance已經暫停運營,同時繼續對該漏洞進行調查。
一名黑客在對DeFi借貸協議應用Agave和Hundred Finance進行“重入”攻擊後,盜走了大約1100萬美元的Wrapped ETH、Wrapped BTC、Chainlink、USDC、Gnosis和Wrapped XDAI。
這次攻擊是在Deus Finance漏洞的新聞爆出後24小時內發生的,黑客從借貸合約平台Deus Finance盜取了超過300萬美元的Dai和ETH。
根據CoinGecko的數據,Agave的代幣AGVE在攻擊發生後下跌了20%。 Hundred Finances的代幣HND在宣布漏洞後下跌了3.5%,但隨後回升至24小時高點。
“Agave目前正在調查Agave Finance協議上的一個漏洞”,Agave在周二15日下午1:30 UTC發推文稱,“我們將在知道更多信息後立即向您更新”。它指出,合約已經暫停,直到情況得到解決。
Hundred Finance團隊也在推特上表示,它在Gnosis鏈上被利用,並在進行調查時暫停了其市場。
根據鏈上分析,與攻擊者相關的地址已經向一個加密貨幣混合器發送了超過2100個ETH,價值超過550萬美元,以試圖清洗被盜代幣。
Solidity開發人員和NFT流動性協議應用程序的創建者Shegen(@shegenerates)在推特上說,她在該漏洞中損失了22.5萬美元,她的調查顯示,該攻擊通過利用Gnosis Chain上的一個wETH合約功能,該功能允許攻擊者在應用程序能夠計算債務之前繼續借入加密貨幣,這將阻止進一步借入。
攻擊者利用這個漏洞,不斷地用他們發布的相同抵押品進行借貸,直到資金從協議中耗盡。
Shegen告訴Cointelegraph,雖然Agave上的智能合約與確保184億美元安全的Aave基本相同,但“每個安全研究人員都對其進行了審計,”她說,“因此,有理由認為該合約是安全的。”
Shegen表示:“我認為這次的黑客攻擊比其他更大規模的攻擊更引人注目。”他指出,儘管與其他竊取了數百萬美元的黑客相比,這次的黑客攻擊規模較小,但與Aave的相似之處意味著,“它似乎是頂級安全的,但實際上並非如此,這種信任被破壞是很痛苦的。”
“這就像你甚至不能相信“安全”的代碼。”
區塊鏈安全研究員Mudit Gupta說,Aave和Agave的區別在於,“Aave在主網上上線代幣之前會主動檢查重入性,以避免類似攻擊”。
Shegen表示,她並不責怪Agave的開發者未能防止攻擊。
“Agave被以一種不安全的方式使用,”她說,“也許開發者不應該允許帶有回調的代幣在平台上使用,或者增加更多的可重入性保護。”
“比如說Curve,今天沒有被黑,因為它有額外的重入防護,但我其實並不責怪Luigy和Agave團隊,因為這種情況不太可能發生,而且與很多人擦肩而過。”
Shegen也沒有把責任指向Gnosis,雖然它創建了黑客利用的具有回調功能的代幣。 Shegen說這個功能可以阻止用戶意外地丟失他們的加密貨幣。
“這其實是一個很好的橋代幣的功能,在我看來,這只是一個非常不幸的、不走運的情況。”(Cointelegraph)