մարտի 15-ին հարձակվող սիֆոնացված երկուսից ավելի քան 11 միլիոն դոլար defi հարթակներ, Ագավե և Հարյուր Ֆինանս. Թվում էր, թե դա արագ վարկի «վերամուտքի հարձակում» էր երկու արձանագրությունների վրա Gnosis շղթա ըստ հետաքննության. Նմանապես, հարթակները դադարեցրին իրենց պայմանագրերը հետագա վնասները կանխելու համար:
Վնասի գնահատում
Solidity-ի մշակող և ստեղծող NFT իրացվելիության արձանագրության հավելված, Շեգեն մարտի 16-ի թվիթերում մի շարք թվիթերում նախընտրեց ընդգծել հաքերային հարձակումը: Զարմանալիորեն, այս վերլուծությունը եղավ այն բանից հետո, երբ վերոհիշյալ կազմակերպությունը նույն շահագործմամբ կորցրեց $225,000:
Արդեն մի քանի լավ թեմաներ կան (և մի քանի վատ թեմաներ, որոնք շատ շուտ խոսեցին): @Agave_lending և @HundredFinance հաքեր այսօր.
Ահա իմ վերլուծությունն ու արտացոլումը, երբ պարզապես կորցրեցի ավելի քան $225k շահագործումից և ուսումնասիրեցի, թե ինչ է տեղի ունեցել:
— Շեգեն (@shegenerates) Մարտի 15, 2022
Նրա նախնական հետաքննությունը պարզել է, որ հարձակումն աշխատել է Gnosis Chain-ի վրա wETH պայմանագրային ֆունկցիայի շահագործման միջոցով: Այն թույլ է տվել հարձակվողին շարունակել կրիպտո փոխառությունը, նախքան հավելվածները կկարողանան հաշվարկել պարտքը, ինչը կկանխի հետագա փոխառությունները: Հետևաբար, մեղավորը հիշյալ շահագործումն իրականացրեց՝ փոխառություն վերցնելով նույն գրավի դիմաց, որը նրանք փակցրեցին, մինչև որ միջոցները դուրս եկան արձանագրություններից:
Իրավիճակն ավելի վատթարացնելու համար միջոցներն ապահով չէին: «Նրանք գրեթե ընդմիշտ անհետացել են, բայց դեռ հույս կա», - նա ավելացվել է. Ասել է թե՝ Gnosis-ի հիմնադիր Մարտին Կոպելմանը թվիթ է արել՝ քաոսի մեջ որոշակի որոշակիություն բերելու համար: Կոպելմանը պնդում էր.
ոչ մի խոստում չի կարող տալ, և նախ պետք է իսկապես հասկանանք, թե ինչ է տեղի ունեցել: Բայց ես, ընդհանուր առմամբ, կաջակցեի GnosisDAO-ի առաջարկին, որը կփորձի կանխել օգտվողներին միջոցներ կորցնելը, օրինակ՝ փոխառություններ վերցնելով/միջոցներ ներդնելով @Agave_lending
- Մարտին Կյոպելման ?? (@koeppelmann) Մարտի 15, 2022
Հետագա հետազոտություններից հետո հարձակվողը, իբր, կիրառել է այս պայմանագիրը 3 գործառույթով. 21120283 և 21120284 բլոկներում հաքերն օգտագործել է պայմանագիրը՝ անմիջականորեն ազդակիր արձանագրության՝ Agave-ի հետ փոխազդելու համար: Agave-ի խելացի պայմանագիրը, ըստ էության, նույնն էր, ինչ Aave-ն, որն ապահովեց $18.4 մլրդ:
Քանի որ որևէ շահագործում չի գրանցվել AAVE, ինչպե՞ս կարելի էր Ագավեին ցամաքեցնել։ Դե, ահա մի ամփոփում այն մասին, թե ինչպես է այն օգտագործվել «ակամա» անապահով կերպով:
Weth պայմանագիրը գործարկվել է առաջին անգամ, երբ ինչ-որ մեկը տեղափոխվել է GC: Ամեն անգամ, երբ կամրջի վրայով նոր նշան եք բերում, դրա համար ստեղծվում է նոր նշանային պայմանագիր:
«CallAfterTransfer» գործառույթն օգնում է ձեզ կանխել նշանները ուղղակիորեն կամուրջ ուղարկելու և դրանք ընդմիշտ կորցնելուց: pic.twitter.com/ZiAZacTtSI
— Շեգեն (@shegenerates) Մարտի 15, 2022
Նշված հաքերը կարողացել է ավելի շատ պարտք վերցնել, քան իրենց գրավը ագավայում: Այսպիսով, հեռանալով բոլոր փոխառու ակտիվներով:
Փոխառված ակտիվները բաղկացած են 2,728.9 WETH, 243,423 USDC, 24,563 LINK, 16.76 WBTC, 8,400 GNO և 347,787 WXDAI: Ընդհանուր առմամբ, հաքերը վաստակել է մոտ 11 միլիոն դոլար:
Այնուամենայնիվ, Շեգենը չմեղադրեց Agave-ի մշակողներին հարձակումը կանխելու ձախողման համար: Նա ասաց, որ մշակողները գործարկել են անվտանգ և անվտանգ AAVE-ի վրա հիմնված ծածկագիր: Չնայած նրան սովոր անապահով նշաններով, ոչ անվտանգ եղանակով։
«GC-ի բոլոր DeFi արձանագրությունները պետք է փոխարինեն գոյություն ունեցող կամրջված նշանները նորերով», - եզրափակեց նա:
Blockchain անվտանգության հետազոտող Մուդիտ Գուպտա վերահաստատել նմանատիպ պատճառ՝ շահագործման հետևում:
Agave-ը և Hundred Finance-ը այսօր շահագործվեցին Gnosis ցանցում (նախկինում xDAI):
Հակահարման հիմքում ընկած պատճառն այն է, որ Gnosis-ի պաշտոնական կամրջված ժետոնները ոչ ստանդարտ են և ունեն կեռիկ, որը կանչում է նշանի ստացողը յուրաքանչյուր փոխանցման ժամանակ: Սա հնարավորություն է տալիս վերագրանցման հարձակումները: pic.twitter.com/8MU8Pi9RQT
- Mudit Gupta (@Mudit__Gupta) Մարտի 15, 2022
Աղբյուր՝ https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/