Một hacker đã đánh cắp khoảng 11 triệu đô la trong Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis và Wrapped XDAI sau một cuộc tấn công "reentrancy" vào các ứng dụng giao thức cho vay DeFi Agave và Hundred Finance.
Cuộc tấn công xảy ra trong vòng 24 giờ sau tin tức về vụ vi phạm Deus Finance, với việc tin tặc đánh cắp hơn 3 triệu đô la Dai và ETH từ nền tảng hợp đồng cho vay Deus Finance.
Mã thông báo của Agave, AGVE, đã giảm 20% sau cuộc tấn công, theo dữ liệu từ CoinGecko. Mã thông báo của Hundred Finances, HND, đã giảm 3,5% sau khi vi phạm được công bố, nhưng sau đó đã phục hồi lên mức cao nhất trong 24 giờ.
"Agave hiện đang điều tra một lỗ hổng trong giao thức Agave Finance," Agave đã tweet vào lúc 1:30 chiều UTC vào thứ Ba ngày 15, "Chúng tôi sẽ cập nhật cho bạn ngay khi biết thêm thông tin." Nó lưu ý rằng hợp đồng đã bị đình chỉ cho đến khi tình hình được giải quyết.
Nhóm Hundred Finance cũng đã tweet rằng nó đã bị khai thác trên chuỗi Gnosis và đã đình chỉ thị trường của nó trong khi điều tra.
Theo phân tích trên chuỗi, các địa chỉ được liên kết với những kẻ tấn công đã gửi hơn 2.100 ETH, trị giá hơn 5,5 triệu đô la, đến một máy trộn tiền điện tử nhằm rửa số tiền bị đánh cắp.
Nhà phát triển Solidity và người tạo ứng dụng giao thức thanh khoản NFT Shegen (@shegenerates) đã tweet rằng cô ấy đã mất 225.000 đô la trong vụ khai thác, mà cuộc điều tra của cô ấy tiết lộ đã bị khai thác bằng cách khai thác wETH trên Chuỗi Gnosis. Một chức năng hợp đồng cho phép kẻ tấn công tiếp tục vay tiền điện tử cho đến khi ứng dụng có thể tính toán khoản nợ, điều này sẽ ngăn cản việc vay thêm.
Những kẻ tấn công khai thác lỗ hổng này bằng cách liên tục cho vay và cho vay với cùng một tài sản thế chấp mà chúng đã đăng cho đến khi tiền bị rút khỏi giao thức.
Shegen nói với Cointelegraph rằng mặc dù hợp đồng thông minh trên Agave về cơ bản giống như Aave, đảm bảo 18,4 tỷ đô la, nhưng “nó đã được kiểm toán bởi mọi nhà nghiên cứu bảo mật,” cô ấy nói, “vì vậy thật hợp lý khi cho rằng hợp đồng là an toàn.”
"Tôi nghĩ vụ hack này đáng chú ý hơn các cuộc tấn công lớn hơn khác," Shegen nói, lưu ý rằng mặc dù vụ hack nhỏ so với các vụ hack khác đã đánh cắp hàng triệu đô la, nhưng những điểm tương đồng với Aave có nghĩa là, "Nó dường như là cấp cao nhất an ninh, nhưng không phải vậy, và thật tổn thương khi niềm tin bị phá vỡ."
"Giống như bạn thậm chí không thể tin vào mã 'an toàn'."
Mudit Gupta, một nhà nghiên cứu bảo mật blockchain, cho biết sự khác biệt giữa Aave và Agave là "Aave sẽ chủ động kiểm tra khả năng truy cập lại trước khi liệt kê các mã thông báo trên mạng chính để tránh các cuộc tấn công tương tự."
Shegen cho biết cô không đổ lỗi cho các nhà phát triển của Agave vì đã không ngăn chặn được cuộc tấn công.
“Agave đang được sử dụng theo cách không an toàn,” cô ấy nói, “Có lẽ các nhà phát triển không nên cho phép sử dụng mã thông báo có lệnh gọi lại trên nền tảng hoặc bổ sung thêm biện pháp bảo vệ người đăng ký lại.”
"Ví dụ, Curve không bị tấn công ngày hôm nay vì nó có thêm tính năng bảo vệ khi vào lại, nhưng tôi không thực sự đổ lỗi cho Luigy và nhóm Agave vì điều đó rất khó xảy ra và nó đã qua tay rất nhiều người."
Shegen cũng không đổ lỗi cho Gnosis, mặc dù nó đã tạo ra mã thông báo kích hoạt gọi lại bị tin tặc khai thác. Shegen cho biết tính năng này có thể ngăn người dùng vô tình làm mất tiền điện tử của họ.
“Đây thực sự là một chức năng của token cầu nối tốt, và theo tôi đó chỉ là một tình huống rất đáng tiếc, không may mắn.”