Ethereum

Los protocolos Agave y Hundred Finance DeFi explotados por $ 11 millones

Los protocolos Agave y Hundred Finance DeFi explotados por $ 11 millones

Un hacker se ha llevado aproximadamente $ 11 millones en Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis y Wrapped XDAI después de usar un ataque de “reingreso” en las aplicaciones de protocolo de préstamos DeFi Agave y Hundred Finance.

El ataque se produce dentro de las 24 horas posteriores a la noticia del exploit Deus Finance, donde los piratas informáticos robaron más de $ 3 millones en Dai y Ethereum de la plataforma de contratos de préstamo.

El token de Agave, AGVE, cayó un 20 por ciento después del ataque, según datos de CoinGecko. El token HND de Hundred Finances cayó un 3,5 por ciento después de anunciar el exploit, sin embargo, desde entonces se recuperó para alcanzar un máximo de 24 horas.

“Agave está investigando actualmente un exploit en el protocolo de finanzas de agave”, Agave tuiteó el martes 15 a la 1:30 p. m. UTC, “lo actualizaremos tan pronto como sepamos más”. Señaló que los contratos se han pausado hasta que se resuelva la situación.

El equipo de Hundred Finance también tuiteó fue explotado en la cadena Gnosis y ha detenido sus mercados mientras realizaba investigaciones.

Según el análisis en cadena, el habla a asociado con el atacante ha enviado más de 2100 ETH, por un valor de más de $ 5,5 millones, a un mezclador de cifrado en un intento de lavar los tokens robados.

Relacionados:Exploit de Deus Finance: los piratas informáticos se salen con la suya con $ 3 millones en DAI y Ether

La desarrolladora de Solidity y creadora de una aplicación de protocolo de liquidez NFT, Shegen (@shegenerates) tuiteó que perdió $ 225,000 en el exploit, y que sus investigaciones revelaron que el ataque funcionó al explotar una función de contrato wETH en Gnosis Chain que permitió al atacante continuar tomando prestadas criptomonedas antes de que las aplicaciones pudieran calcular la deuda, lo que evitaría más préstamos.

El atacante ejecutó este exploit, tomando prestado continuamente contra la misma garantía que estaban publicando hasta que los fondos se agotaron de los protocolos.

Shegen le dijo a Cointelegraph que, si bien el contrato inteligente de Agave es esencialmente el mismo que el de Aave, que asegura USD 18,400 millones, “todos los investigadores de seguridad lo han auditado”, dijo, “por lo que es razonable suponer que el contrato es seguro”.

“Creo que este truco se destaca más que algunos más grandes”, dijo Shegen, y señaló que incluso si es un truco más pequeño en comparación con otros que robaron millones más, la similitud con Aave significaba que “parece seguro de primer nivel, pero no lo era. y esa ruptura de la confianza duele”.

“Es como si ni siquiera pudieras confiar en el código “seguro”.

Investigador de seguridad de blockchain Mudit Gupta dice la diferencia entre Aave y Agave es que “Aave verifica activamente el reingreso antes de enumerar tokens en la red principal para evitar ataques similares”.

Shegen declaró que no culpó a los desarrolladores de Agave por no haber podido evitar el ataque.

“Agave se usó de una manera insegura”, dijo, “tal vez el desarrollador no debería haber permitido que se usaran tokens con devoluciones de llamada en la plataforma, o agregado más guardias de reingreso”.

“Curve, por ejemplo, no fue pirateada hoy, porque tiene guardias adicionales de reingreso, pero realmente no culpo a Luigy y al equipo de Agave porque es muy poco probable que esto haya sucedido y haya pasado por alto a muchas personas”.

Shegen tampoco culpó a Gnosis por crear tokens con una función de devolución de llamada que el pirata informático explotó, y dijo que la función evita que los usuarios pierdan accidentalmente su criptografía.

“Esa es en realidad una gran característica para los tokens en puente, es solo una circunstancia realmente desafortunada y desafortunada en mi opinión”.



Fuente