No uno, sino dos protocolos de finanzas descentralizadas (DeFi), Agave y Hundred Finance, fueron explotados en un nuevo caso de ataque de "reingreso".
Según se informa, el pirata informático logró desviar fondos por valor de $ 11 millones en Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis y Wrapped XDAI en ambos protocolos DeFi en la cadena Gnosis utilizando un préstamo flash.
los trucos
Medir en el datos disponible en Tenderly para ambos infracciones, se descubrió que el pirata informático aprovechó un error de reingreso en los dos protocolos.
Para los no iniciados, el "reingreso" es una vulnerabilidad en el lenguaje de programación Solidity que permite que una entidad malintencionada engañe el contrato inteligente de un protocolo para realizar una llamada externa a un contrato que no es de confianza. Una vez que el atacante obtiene el control del contrato que no es de confianza, puede realizar llamadas recursivas a la función original para agotar sus fondos.
Investigador de blockchain y seguridad, Mudit Gupta, revelado que los tokens puente oficiales en Gnosis son los principales culpables y declaró que "no son estándar y tienen un gancho que llama al receptor del token en cada transferencia". Agregó que esto es lo que permite los ataques de reingreso.
Agave es una bifurcación de la plataforma de préstamos DeFi Aave, mientras que el proyecto de préstamos multicadena, Hundred Finance, es una bifurcación de Compound. Gupta también afirmó que Compound no sigue el patrón recomendado de controles-efectos-interacciones a pesar de referirse a él.
Los ataques de reingreso se vuelven más asombrosos ya que “el código ejecuta interacciones antes de aplicar los efectos”. Por otro lado, Aave intenta seguir el patrón de controles-efectos-interacciones antes mencionado. Sin embargo, existe un camino a través de liquidaciones mediante el cual el atacante “rompió el patrón” en el ataque reciente. Continuó agregando,
“Los equipos de agave y cien de protocolo se equivocaron al listar un token que puede volver a ingresar. Aave y el gobierno compuesto verifican activamente el reingreso antes de incluir tokens en la red principal para evitar ataques similares".
La popular plataforma de préstamos DeFi Cream Finance, que comparte un código base similar al de Compound, también fue Explotado en un ataque de reentrada de préstamo flash de $ 18.8 millones en agosto del año pasado.
Los fondos no son SAFU
Según un desarrollador del protocolo DeFi DanceFloor, "Shegan", los fondos no están seguros. Sin embargo, Martin Köppelmann, el fundador de Gnosis, dijo apoyaría una medida de la DAO. El equipo detrás de Hundred Finance y Agave está investigando las vulnerabilidades y ha detenido los contratos.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/defi-protocols-agave-hundred-finance-hacked-attacker-steals-11m-worth-of-crypto/