Взломаны сразу два протокола DeFi, похищены средства на $11 млн

Не один, а сразу два протокола децентрализованных финансов (DeFi) Agave и Hundred Finance стали жертвами атаки с «повторным входом».

Роджер Вер: фейковые аккаунты от моего имени в соцсетях заработали больше 6 миллионов долларов

Сообщается, что из обоих протоколов в сети Gnosis хакеру удалось вывести средства на сумму $11 млн во Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis и Wrapped XDAI. Злоумышленник использовал уязвимость с мгновенным кредитом.

Для непосвящённых «повторный вход» — это уязвимость в языке программирования Solidity, которая позволяет злоумышленнику обмануть смарт-контракт протокола, заставив его сделать внешний вызов к ненадёжному контракту. После того, как злоумышленник получает контроль над ненадёжным контрактом, он может делать рекурсивные вызовы исходной функции, чтобы вывести средства.

Исследователь блокчейна и безопасности Мудит Гупта сказал, что главным виновником являются официальные мосты на Gnosis, они «нестандартны и вызывают получателя токена при каждой передаче». Он добавил, что именно это позволяет проводить повторные атаки.

Agave — это форк кредитной платформы Aave, а многосетевой кредитный проект Hundred Finance — форк Compound. Гупта добавил, что Compound не следует рекомендуемому шаблону проверки-эффекты-взаимодействия, несмотря на то, что ссылается на него.

Атаки с повторным входом становятся всё более распространёнными, поскольку «код выполняет взаимодействия перед применением эффектов». С другой стороны, Aave пытается следовать вышеупомянутому шаблону проверки-эффекты-взаимодействия. Однако существует путь через ликвидацию, с помощью которого злоумышленник «сломал шаблон» в недавней атаке.

В августе прошлого года популярная кредитная -платформа Cream Finance, кодовая база которой аналогична кодовой базе Compound, также пострадала от атаки с повторным входом на сумму $18,8 млн.