Agave và Hundred Finance là nạn nhân tiếp theo của Hacker
Một hacker đã kiếm được số Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis và Wrapped XDAI trị giá khoảng 11 triệu USD sau khi sử dụng một cuộc tấn công “re-entrancy” vào các ứng dụng giao thức DeFi cho vay DeFi Agave và Hundred Finance.
Cuộc tấn công xảy ra trong vòng 24 giờ sau khi có tin tức về đợt tấn công khai thác lỗ hổng (exploit) Deus Finance, nơi các tin tặc đã đánh cắp số token DAI và Ethereum trị giá hơn 3 triệu USD từ nền tảng hợp đồng cho vay này.
Giá token của Agave, AGVE, đã giảm 20% sau cuộc tấn công, theo dữ liệu từ CoinGecko. Token HND của Hundred Finance đã giảm 3,5% sau khi công bố về cuộc tấn công khai thác, tuy nhiên nó đã phục hồi để đạt mức cao nhất trong 24 giờ.
“Agave hiện đang điều tra một vụ khai thác trên giao thức tài chính agave”, Agave đã tweet vào hôm 15 lúc 1:30 pm giờ UTC, “Chúng tôi sẽ cập nhật cho bạn ngay khi chúng tôi biết thêm.” Họ lưu ý rằng các hợp đồng đã được tạm dừng cho đến khi tình hình được giải quyết.
Đội ngũ Hundred Finance cũng đã tweet rằng nền tảng đã bị khai thác trên chuỗi Gnosis, và đã phải tạm dừng thị trường market của mình để điều tra.
Theo phân tích on-chain, địa chỉ liên quan đến kẻ tấn công đã gửi hơn 2.100 ETH, trị giá hơn 5,5 triệu đô la, đến một máy trộn mixer tiền điện tử để nhằm rửa các token bị đánh cắp.
Nhà phát triển Solidity và người tạo ra ứng dụng giao thức thanh khoản NFT, Shegen (@shegenerates) đã tweet rằng cô ấy đã mất 225.000 đô la trong vụ khai thác này, và các cuộc điều tra của cô ấy đã cho thấy cuộc tấn công đã dùng cách khai thác một chức năng hợp đồng wETH trên Gnosis Chain cho phép kẻ tấn công liên tục vay tiền điện tử trước khi các ứng dụng có thể tính toán khoản nợ để ngăn không cho vay thêm.
Kẻ tấn công đã khai thác lỗ hổng này, liên tục vay mượn cùng một tài sản thế chấp mà chúng đã post cho đến khi rút hết tiền khỏi các giao thức, gây thiệt hại lớn cho Agave và Hundred Finance.
Cần thêm nhiều lớp bảo mật để hạn chế rủi ro cho dù là nền tảng an toàn hàng đầu
Shegen nói với Cointelegraph rằng mặc dù hợp đồng thông minh trên Agave về cơ bản giống với Aave, vốn đảm bảo an toàn cho 18,4 tỷ đô la: “mọi nhà nghiên cứu bảo mật đều đã kiểm tra (audit) nó”, cô nói “vì vậy cũng dễ hiểu khi cho rằng hợp đồng là an toàn”.
“Tôi nghĩ vụ hack này nổi bật hơn một số vụ lớn hơn,” Shegen nói, lưu ý rằng ngay cả khi đó là một vụ hack nhỏ hơn so với những vụ khác – những vụ mà hacker đã lấy trộm hàng triệu USD – thì sự tương đồng của chúng với Aave có nghĩa là “trông nó có vẻ an toàn hàng đầu nhưng thật ra không phải, và đó gây ra sự đổ vỡ lòng tin và gây nên tổn thương. “
“Nó giống như bạn thậm chí không thể tin tưởng vào từ “an toàn” nữa.”
Nhà nghiên cứu bảo mật blockchain Mudit Gupta cho biết sự khác biệt giữa Aave và Agave là “Aave chủ động kiểm tra tính năng re-entrancy lại trước khi niêm yết token trên mạng chính để tránh các cuộc tấn công tương tự”.
Shegen nói rằng cô ấy không đổ lỗi cho các nhà phát triển Agave vì đã không ngăn chặn được cuộc tấn công.
“Agave đã được sử dụng theo cách không an toàn”, cô ấy nói, “có lẽ nhà phát triển không nên cho phép sử dụng các token có lệnh callback, hoặc nên thêm vào tính năng bảo vệ re-entrancy guard”
“Ví dụ, Curve đã không bị tấn công ngày hôm nay, bởi vì nó có thêm các tính năng bảo vệ re-entrancy guard, nhưng tôi không thực sự đổ lỗi cho Luigy và nhóm Agave vì điều này rất khó xảy ra, và chúng đã qua mặt được rất nhiều người.”
Shegen cũng không đổ lỗi cho Gnosis vì đã tạo ra các token với chức năng callback mà hacker đã khai thác, nói rằng tính năng này hữu dụng vì giúp ngăn người dùng vô tình làm mất tiền điện tử của họ.
“Đó thực sự là một tính năng tuyệt vời cho các token dùng cho các cầu nối , và đây chỉ là một tình huống thực sự đáng tiếc và không may mắn theo quan điểm của tôi.”
Nguồn: cointelegraph
Đọc thêm: Giao thức DeFi QiDAO trên Polygon bị hack 13 triệu USD