快速拍摄
攻击者从 Agave 和 Hundred Finance 窃取了超过 1100 万美元,这似乎是对 Gnosis 链上两个 DeFi 协议的快速贷款重入攻击。
DeFi 平台各自确认了黑客攻击 推特帖子 周二,表示他们的合约已经 暂停 以防止进一步的损害。 这次攻击标志着今天记录的第二次闪贷攻击,因为 Deus Finance DAO 也损失了 300 万美元。
检查交易 分解 两个漏洞利用的数据 温柔地,攻击者利用了两种协议中的重入漏洞。 Reentrancy 是一种 Solidity 编程语言漏洞,它允许攻击者欺骗协议的合约对不受信任的合约进行外部调用。 一旦发生这种情况,黑客就可以使用这个不受信任的合约反复调用协议以耗尽其资金。
在 Agave 和 Hundred Finance 的案例中,攻击者在两种协议上都引入了一个可重入漏洞,从而为利用闪电贷款铺平了道路。 重入漏洞似乎中心化在“callAfterTransfer”功能上,允许黑客继续从协议中借款——吸走大量流动性。
从本质上讲,攻击者是在进行递归调用以抽走用户资金,而无需提供额外的质押品。 然后攻击者通过“liquidationCall”终止了攻击,偿还了他们最初的闪电贷款,同时仍然从两个项目中获得了大量流动性。
攻击者已经开始 洗钱 通过 Tornado Cash 获得资金,但 以太扫描 截至撰写本文时,尚未将他们的地址标记为与 DeFi 漏洞相关联。
闪电贷攻击仍在继续
Agave 是 Gnosis 链上的借贷协议,是流行的 Aave 协议的一个分支。 Hundred Finance是一个多链借贷项目,是Compound的一个分支。
Cream Finance 是一种 DeFi 借贷协议,与 Compound 共享类似的代码库,去年夏天也遭受了闪电贷重入攻击。 该漏洞导致该项目损失了 1900 万美元的加密货币代币。
© 2022 The Block Crypto, Inc. 保留所有权利。 本文仅供参考。 它不是提供或打算用作法律、税务、投资、财务或其他建议。
热门故事
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
