في 15 مارس ، قام أحد المهاجمين سيفون أكثر من 11 مليون دولار من اثنين الصدمة المنصات، الأغاف و مائة تمويل. يبدو أنه كان بمثابة "هجوم عودة" على كلا البروتوكولين في سلسلة الغنوص حسب التحقيق. وبالمثل ، أوقفت المنصات عقودها لمنع المزيد من الضرر.
تقييم الضرر
مطور Solidity ومبتكر NFT تطبيق بروتوكول السيولة ، شيغن اختار تسليط الضوء على الاختراق في سلسلة من التغريدات في 16 مارس. والمثير للدهشة أن هذا التحليل جاء بعد أن خسر الكيان المذكور 225,000 ألف دولار في نفس برمجية إكسبلويت.
كان هناك بالفعل عدد قليل من الخيوط الجيدة بالفعل (وبعض الخيوط السيئة التي تحدثت في وقت مبكر جدًا) على تضمين التغريدة و تضمين التغريدة الخارقة اليوم.
هذا هو تحليلي وتفكيري ، بعد أن خسرت للتو أكثر من 225 ألف دولار من الاستغلال ، واستكشفت ماذا حدث؟
- شيغن (@ shegenerates) 15 آذار، 2022
كشفت تحقيقاتها الأولية أن الهجوم تم من خلال استغلال وظيفة عقد WETH على سلسلة Gnosis. سمح للمهاجم بمواصلة استعارة العملات المشفرة قبل أن تتمكن التطبيقات من حساب الدين ، مما سيمنع المزيد من الاقتراض. Ergo ، الجاني حمل الاستغلال المذكور بالاقتراض مقابل نفس الضمان الذي أرسلوه حتى استنزاف الأموال من البروتوكولات.
ومما زاد الطين بلة ، أن الأموال لم تكن آمنة. "لقد ذهبوا إلى حد كبير إلى الأبد ، ولكن لا يزال هناك أمل" ، قالت وأضاف. ومع ذلك ، غرد مؤسس Gnosis ، مارتن كوبيلمان ، لإضفاء بعض اليقين وسط الفوضى. أكد كوبيلمان ،
لا يمكننا تقديم أي وعود ، وعلينا أولاً أن نفهم حقًا ما حدث. لكنني سأدعم عمومًا اقتراح GnosisDAO الذي سيحاول منع المستخدمين من فقدان الأموال عن طريق اقتراض الأموال / استثمار الأموال في تضمين التغريدة
- مارتن كوبيلمان ؟؟ (koeppelmann) 15 آذار، 2022
بعد إجراء مزيد من البحث ، زُعم أن المهاجم نشر هذا العقد بثلاث وظائف ؛ في الكتلتين 3 و 21120283 ، استخدم المخترق العقد للتفاعل مع البروتوكول المتأثر ، Agave مباشرة. كان العقد الذكي على Agave في الأساس هو نفسه عقد Aave ، الذي حصل على 21120284 مليار دولار.
حيث لم يتم الإبلاغ عن أي استغلال في AAVEكيف يمكن تجفيف الأغاف؟ حسنًا ، إليك ملف ملخص كيف تم استخدامه بطريقة غير آمنة "عن غير قصد".
تم نشر العقد في المرة الأولى التي انتقل فيها شخص ما إلى GC. في كل مرة تقوم فيها بإحضار رمز جديد عبر الجسر ، يتم إنشاء عقد رمزي جديد له.
تساعد وظيفة callAfterTransfer في منعك من إرسال الرموز المميزة مباشرةً إلى الجسر وفقدانها إلى الأبد pic.twitter.com/ZiAZAcTtSI
- شيغن (@ shegenerates) 15 آذار، 2022
كان المخترق المذكور قادرًا على اقتراض أكثر من ضمانه في الصبار. وبالتالي ، التخلي عن جميع الأصول القابلة للاقتراض.
تتألف الأصول المقترضة من 2,728.9،243,423 WETH و 24,563،16.76 USDC و 8,400،347,787 LINK و 11 WBTC و XNUMX،XNUMX GNO و XNUMX،XNUMX WXDAI. بشكل عام ، حقق الهاكر ما يقرب من XNUMX مليون دولار.
ومع ذلك ، لم يلوم Shegen مطوري Agave لفشلهم في منع الهجوم. قالت ، قام المطورون بتشغيل رمز AAVE آمن وآمن. بالرغم من مستعمل برموز غير آمنة وبطريقة غير آمنة.
واختتمت قائلة: "يجب على جميع بروتوكولات DeFi على GC استبدال الرموز المميزة الحالية بالجسور بأخرى جديدة".
باحث أمن Blockchain موديت جوبتا وكرر سبب مشابه وراء الاستغلال.
تم استغلال Agave و Hundred Finance اليوم في سلسلة Gnosis (xDAI سابقًا).
السبب الأساسي للاختراق هو أن الرموز الرسمية الموصلة على Gnosis غير قياسية ولديها خطاف يستدعي مستقبل الرمز المميز في كل عملية نقل. هذا يمكّن هجمات إعادة الدخول. pic.twitter.com/8MU8Pi9RQT
- موديت جوبتا (Mudit__Gupta) 15 آذار، 2022
المصدر: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/