一名黑客在使用“重新进入”后,已经窃取了大约 1100 万美元的点评 ETH (wETH)、点评 BTC (wBTC)、Chainlink (LINK)、美元硬币 (USDC)、Gnosis (GNO) 和点评 XDAI (wxDAI) ” 对去中心化金融(DeFi)借贷协议应用 Agave 和 Hundred Finance 的攻击。
攻击发生在 Deus Finance 漏洞利用的消息传出后 24 小时内,黑客从借贷合约平台窃取了超过 300 万美元的 Dai (DAI) 和 Ether (ETH)。
根据 CoinGecko 的数据,攻击后龙舌兰代币 AGVE 下跌了 20%。 Hundred Finances 代币 HND 在宣布漏洞利用后下跌 3.5%。 然而,它已经恢复到 24 小时高点。
“龙舌兰目前正在调查龙舌兰金融协议的漏洞,”龙舌兰周二发推文说。 “我们会在了解更多信息后立即更新你。” 它指出,在情况得到解决之前,合约已经暂停。
Hundred Finance 团队还在推特上表示,它在 Gnosis 链上被利用,并在进行调查时暂停了其市场。
根据链上分析,与攻击者相关的地址已向加密货币混合器发送了超过 2,100 个 ETH,价值超过 550 万美元,以试图清洗被盗代币。
Deus Finance 漏洞利用:黑客利用价值 300 万美元的 DAI 和 Ether 侥幸逃脱
Solidity 开发者和 NFT 流动性协议应用程序 Shegen (@shegenerates) 的创建者在推特上表示,她在该漏洞利用中损失了 225,000 美元。 她的调查显示,攻击是通过利用 Gnosis Chain 上的 wETH 合约功能来实现的,允许攻击者在应用程序计算债务防止进一步借款之前继续借用加密货币。
攻击者运行此漏洞,不断借用他们发布的相同质押品,直到资金从协议中耗尽。
Shegen 告诉 Cointelegraph,虽然 Agave 上的智能合约与 Aave 基本相同,Aave 可确保 $18.4B,但“每个安全研究人员都对其进行了审计,”她说。 “因此假设合约是安全的是合理的。”
“我认为这个黑客比一些更大的黑客更突出,”Shegen 说,并指出即使与其他窃取数百万美元的黑客相比,它是一个较小的黑客,但与 Aave 的相似之处意味着“它似乎是顶级安全的,但实际上并非如此。” ,而信任的破裂很痛苦。”
“这就像你甚至不能相信‘安全’代码。”
区块链安全研究员 Mudit Gupta 表示,Aave 和 Agave 之间的区别在于“Aave 在将代币上架之前会主动检查重新进入,以避免类似的攻击。”
Shegen 表示,她没有责怪 Agave 开发商未能阻止攻击。
“龙舌兰被以不安全的方式使用”,她说。 “也许开发人员不应该允许在平台中使用带有回调的令牌,或者添加更多的重入保护。”
“例如,Curve 今天没有被黑客入侵,因为它有额外的重入守卫,但我并不真的责怪 Luigy 和龙舌兰团队,因为这不太可能发生,并且从很多人身边溜走。”
Shegen 也没有将责任归咎于 Gnosis 使用黑客利用的回调函数创建令牌,称该功能可以防止用户意外丢失他们的加密货币。
“这对于桥接代币来说实际上是一个很棒的功能,在我看来,这只是一个非常不幸和不幸的情况。”
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
