Agave和Hundred Finance已经暂停运营,同时继续对该漏洞进行调查。
“不幸”:Agave和Hundred Finance DeFi协议被盗走1100万美元 新闻
一名黑客在对DeFi借贷协议应用Agave和Hundred Finance进行“重入”攻击后,盗走了大约1100万美元的Wrapped ETH、Wrapped BTC、Chainlink、USDC、Gnosis和Wrapped XDAI。
这次攻击是在Deus Finance漏洞的新闻爆出后24小时内发生的,黑客从借贷合约平台Deus Finance盗取了超过300万美元的Dai和ETH。
根据CoinGecko的数据,Agave的代币AGVE在攻击发生后下跌了20%。Hundred Finances的代币HND在宣布漏洞后下跌了3.5%,但随后回升至24小时高点。
“Agave目前正在调查Agave Finance协议上的一个漏洞”,Agave在周二15日下午1:30 UTC发推文称,“我们将在知道更多信息后立即向您更新”。它指出,合约已经暂停,直到情况得到解决。
Hundred Finance团队也在推特上表示,它在Gnosis链上被利用,并在进行调查时暂停了其市场。
根据链上分析,与攻击者相关的地址已经向一个加密货币混合器发送了超过2100个ETH,价值超过550万美元,以试图清洗被盗代币。
Solidity开发人员和NFT流动性协议应用程序的创建者Shegen(@shegenerates)在推特上说,她在该漏洞中损失了22.5万美元,她的调查显示,该攻击通过利用Gnosis Chain上的一个wETH合约功能,该功能允许攻击者在应用程序能够计算债务之前继续借入加密货币,这将阻止进一步借入。
攻击者利用这个漏洞,不断地用他们发布的相同抵押品进行借贷,直到资金从协议中耗尽。
Shegen告诉Cointelegraph,虽然Agave上的智能合约与确保184亿美元安全的Aave基本相同,但“每个安全研究人员都对其进行了审计,”她说,“因此,有理由认为该合约是安全的。”
Shegen表示:“我认为这次的黑客攻击比其他更大规模的攻击更引人注目。”他指出,尽管与其他窃取了数百万美元的黑客相比,这次的黑客攻击规模较小,但与Aave的相似之处意味着,“它似乎是顶级安全的,但实际上并非如此,这种信任被破坏是很痛苦的。"
“这就像你甚至不能相信“安全”的代码。”
区块链安全研究员Mudit Gupta说,Aave和Agave的区别在于,“Aave在主网上上线代币之前会主动检查重入性,以避免类似攻击”。
Shegen表示,她并不责怪Agave的开发者未能防止攻击。
“Agave被以一种不安全的方式使用,”她说,“也许开发者不应该允许带有回调的代币在平台上使用,或者增加更多的可重入性保护。”
“比如说Curve,今天没有被黑,因为它有额外的重入防护,但我其实并不责怪Luigy和Agave团队,因为这种情况不太可能发生,而且与很多人擦肩而过。”
Shegen也没有把责任指向Gnosis,虽然它创建了黑客利用的具有回调功能的代币。Shegen说这个功能可以阻止用户意外地丢失他们的加密货币。
“这其实是一个很好的桥代币的功能,在我看来,这只是一个非常不幸的、不走运的情况。”