Hackertámadás: 11 millió dollárt loptak el két DeFi kölcsönzési platformtól

Friss hírek szerint nem is egy, hanem egyszerre két decentralizált DeFi protokoll esett támadásul egy ún. re-entrancy azaz újbóli belépés típusú hackertámadásnak nemrégiben. Az Agave és a Hundred Finance ellen végrehajtott támadás eredményeként 11 millió dolláros veszteséget okoztak a támadók a Gnosis láncán. A jelenleg elérhető adatok szerint a támadó az általánosságban re-entrancynként ismert módszerrel egy ismert bugot használt ki.

Nem volt nehéz dolga az Agave és Hundred Finance ellen támadó hackernek

Maga a re-entrancy típusú támadás alapvetően azt jelenti, hogy a rosszindulatú támadó képes a protokoll egyik okosszerződésével meghívni egy nem megbízható szerződés függvényét rekurzívan. Ezzel pedig akár pénzt is lehet kicsalni a protokollból. Hiszen innentől kezdve már a nem megbízható szerződésen keresztül ki lehet hagyni az egyenlegek frissítésére vagy a kiutalási mennyiségekre vonatkozó lépéseket. Az Ethereum.org hivatalos definíciója szerint amíg az Ethereum Virtual MachineEVM nem tud egyszerre több szerződést futtatni, egy másik szerződést meghívó szerződés szünetelteti a hívó szerződés végrehajtását és memóriaállapotát, amíg a hívás vissza nem tér. Ez a szüneteltetés és újraindítás a re-entrancy avagy az újbóli belépés.

RE-entrancy

Az Agave az ismert DeFi kölcsönzési platform, az Aave forkja, míg a Hundred Finance a Compound forkja. Bennfentesek szerint a fő problémát a Gnosis láncán engedélyezett tokenek okozták, amelyek állítólag nem standard módon működnek. Ráadásul a Compound nem is használja a Solidity nyelvben a re-entrancy támadás kiküszöbölésére javasolt Checks-Effects-Interactions tervezési mintát sem. Az Aave ugyan használja ezt a fajta védekezési módot, de az Agave protokoll csapata figyelmen kívül hagyott pár fontos dolgot úgy tűnik. Így a támadó könnyedén kihasználhatta az újbóli belépési módszer lehetőségét. Nem meglepő tehát, hogy tavaly augusztusban a Compoundhoz hasonló kóddal bíró Cream Finance DeFi platformját is közel 20 millió dollárral károsították meg a re-entrancy módszerrel. Az Agave és a Hundred Finance csapatai jelenleg is vizsgálják a történteket és leállították a szerződéseket is.