テク

これらの11つのDeFiプロトコルがどのようにしてXNUMX万ドルの「再入可能攻撃」の犠牲になったのか

03/16/2022
ビットコインイーサリアムニュース

15月XNUMX日、襲撃犯が 吸い上げた 11台でXNUMX万ドル以上 DeFi プラットフォーム、 リュウゼツラン & 百の財政。 これは、両方のプロトコルに対するフラッシュ ローンの「再入攻撃」であるように見えました。 グノーシスチェーン 調査によると。 同様に、プラットフォームはさらなる被害を防ぐために契約を停止した。

被害の評価 

Solidity の開発者および作成者 NFT 流動性プロトコルアプリ、 シェゲン は16月225,000日の一連のツイートでハッキングを強調することにした。 驚くべきことに、この分析は、前述の企業が同じエクスプロイトで XNUMX ドルを失った後に行われました。

彼女の予備調査により、この攻撃は Gnosis Chain 上の wETH コントラクト機能を悪用することによって行われたことが判明しました。 これにより、攻撃者はアプリが負債を計算する前に暗号通貨の借入を続けることができ、それ以上の借入を防ぐことができました。 したがって、犯人は、プロトコルから資金が枯渇するまで、差し入れた同じ担保に対して借金をすることで、上記のエクスプロイトを実行しました。

さらに悪いことに、資金は安全ではありませんでした。 「彼らはほぼ永遠に去ってしまいましたが、まだ希望はあります」と彼女は言いました。 追加されました。 そうは言っても、グノーシスの創始者であるマーティン・コッペルマンは、混乱の中に確かさをもたらすためにツイートした。 コッペルマン氏はこう主張した。

画像

さらに調査を行った結果、攻撃者はこのコントラクトを 3 つの機能で展開したとされています。 ブロック 21120283 と 21120284 では、ハッカーはコントラクトを使用して、影響を受けるプロトコルである Agave と直接対話しました。 Agave のスマート コントラクトは、18.4 億ドルを確保した Aave と本質的に同じでした。

エクスプロイトは報告されていなかったため、 AAVE、アガベはどのようにして水気を切ることができますか? さて、ここに 要約 それが「意図せずに」危険な方法でどのように使用されたかについて。

当該ハッカーはリュウゼツランの担保以上の借金をすることができた。 これにより、すべての借入可能な資産を手放すことになります。

情報源: Twitter

借入資産は、2,728.9 WETH、243,423 USDC、24,563 LINK、16.76 WBTC、8,400 GNO、および 347,787 WXDAI で構成されています。 全体として、ハッカーは約 11 万ドルを手に入れました。

それにもかかわらず、シェゲン氏は、リュウゼツランの開発者が攻撃を阻止できなかったことを責めなかった。 彼女によると、開発者は安全で安全な AAVE ベースのコードを実行しました。 それでも 中古 安全でないトークンを安全でない方法で使用する。

「GC上のすべてのDeFiプロトコルは、既存のブリッジトークンを新しいトークンと交換する必要がある」と彼女は結論づけた。

ブロックチェーンセキュリティ研究者 ムディットグプタ 改めて表明 エクスプロイトの背後にも同様の原因があります。

出典: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-攻撃/