«Malchanceux»: les protocoles Agave et Hundred Finance DeFi extraits pour 11 millions de dollars
Hacker a récupéré environ 11 millions de dollars dans Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis et Wrapped XDAI après avoir utilisé une attaque de « rentrée » sur les applications de protocole de prêt DeFi Agave et Hundred Finance.
L’attaque survient dans les 24 heures suivant l’annonce de l’exploit Deus Finance, où les pirates ont volé plus de 3 millions de dollars en Dai et Ethereum de la plate-forme d’accord de prêt.
Le jeton d’Agave, AGVE, a chuté de 20 % après l’attaque, selon les données de CoinGecko. Le jeton HND de Hundred Finance a chuté de 3,5 % après l’annonce de l’exploit, mais a depuis atteint un sommet de 24 heures.
« Agave enquête actuellement sur un exploit sur le protocole de financement Agave », Agave tweeté le mardi 15 à 13h30 UTC, « Nous vous tiendrons au courant dès que nous en saurons plus. » Il a noté que les contrats ont été suspendus jusqu’à ce que la situation soit résolue.
L’équipe Hundred Finance a également tweeté il a été miné sur le canal Gnosis et a suspendu ses marchés pendant qu’il poursuivait ses investigations.
Selon une analyse en chaîne, l’adresse associée à l’attaquant a envoyé plus de 2 100 ETH, d’une valeur de plus de 5,5 millions de dollars, à un mélangeur crypto dans le but de blanchir les jetons volés.
En rapport:Exploit de Deus Finance : les pirates s’en tirent avec 3 millions de dollars de DAI et d’Ether
Développeur Solidity et créateur d’une application de protocole de liquidité NFT, Shegen (@shegenerates) a tweeté qu’elle avait perdu 225 000 $ dans l’exploit, et que ses enquêtes ont révélé que l’attaque fonctionnait en exploitant une fonction du contrat wETH sur Gnosis Chain qui permettait à l’attaquant de continuer emprunter de la crypto avant que les applications ne puissent calculer la dette, ce qui empêcherait de nouveaux emprunts.
L’attaquant a exécuté cet exploit, empruntant continuellement contre la même garantie qu’il avait déposée jusqu’à ce que les fonds soient épuisés par les protocoles.
Shegen a déclaré à TUSEN que si le contrat intelligent sur Agave est essentiellement le même que sur Aave, qui sécurise 18,4 milliards de dollars, « tous les chercheurs en sécurité l’ont audité », a-t-elle déclaré, « il est donc raisonnable de supposer que le contrat est sécurisé ».
« Je pense que ce piratage se démarque plus que certains plus gros », a déclaré Shegen, notant que bien qu’il s’agisse d’un piratage plus petit par rapport à d’autres qui ont volé des millions d’autres, la similitude avec Aave signifiait « il semble sûr de haut niveau, mais était ‘t, et cet abus de confiance fait mal.
« C’est comme si vous ne pouviez même pas faire confiance à un code » sûr « . »
Mudit Gupta, chercheur en sécurité blockchain mentionné la différence entre Aave et Agave est que « Aave vérifie activement la rentrée avant de répertorier les jetons sur le réseau principal pour empêcher des attaques similaires ».
Shegen a déclaré qu’elle ne reprochait pas aux développeurs d’Agave de ne pas avoir empêché l’attaque.
« Agave a été utilisé de manière dangereuse », a-t-elle déclaré, « peut-être que le développeur n’aurait pas dû autoriser l’utilisation de jetons contenant des rappels sur la plate-forme, ou ajouter plus de gardes de rentrée. »
« Curve, par exemple, n’a pas été piraté aujourd’hui car il a des gardes de rentrée supplémentaires, mais je ne blâme pas vraiment Luigy et l’équipe d’Agave car il est si peu probable que cela se produise. produit et a échappé à beaucoup de gens.
Shegen n’a pas non plus reproché à Gnosis d’avoir créé des jetons avec une fonction de rappel que le pirate a exploitée, affirmant que la fonction empêche les utilisateurs de perdre accidentellement leur crypto.
« C’est en fait une fonctionnalité intéressante pour les jetons pontés, c’est juste une circonstance vraiment malheureuse et malchanceuse à mon avis. »