Un pirata informático se ha llevado alrededor de $ 11 millones en Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis y Wrapped XDAI después de realizar un ataque de «reingreso» en las aplicaciones de protocolo de préstamos DeFi Agave y Hundred Finance.
El ataque se produce dentro de las 24 horas posteriores a que el exploit Deus Finance se hiciera público, en el que los piratas informáticos robaron más de $ 3 millones en Dai y Ethereum de la plataforma del acuerdo de préstamo.
El token de Agave, AGVE, cayó un 20 por ciento después del ataque, según datos de CoinGecko. El token HND de Hundred Finances cayó un 3,5 por ciento después de anunciar el exploit, pero desde entonces se ha recuperado para alcanzar un máximo de 24 horas.
«Agave está investigando actualmente un exploit en el protocolo financiero de Agave», Agave tuiteó el martes 15 a las 13:30 UTC: «Le informaremos tan pronto como sepamos más» Señaló que los contratos han sido suspendidos hasta que se resuelva la situación.
El equipo de Hundred Finance también tuiteó Ha sido explotado en la cadena Gnosis y ha detenido sus mercados mientras realizaba investigaciones.
Según el análisis en cadena, la dirección asociada con el atacante envió más de 2100 ETH por un valor de más de $ 5,5 millones a un mezclador de cifrado para lavar los tokens robados.
Relacionados:Exploit financiero de Deus: los piratas informáticos se salen con la suya con $ 3 millones en DAI y Ether
La desarrolladora de Solidity y creadora de una aplicación de registro de liquidez de NFT, Shegen (@shegenerates), tuiteó que perdió $ 225,000 en el exploit y que sus investigaciones revelaron que el ataque funcionó mediante el uso de una función de contrato wETH en Gnosis Chain, lo que permitió al atacante continúe tomando prestadas criptomonedas antes de que las aplicaciones puedan calcular la deuda, evitando más préstamos.
El atacante realizó esta hazaña y tomó prestado continuamente contra la misma garantía que había depositado hasta que los fondos se retiraron de los registros.
Shegen le dijo a Cointelegraph que, si bien el contrato inteligente de Agave es esencialmente el mismo que el de Aave, que asegura USD 18,400 millones, «todos los investigadores de seguridad lo han verificado», dijo, «por lo que es razonable suponer que el contrato es seguro».
«Creo que este truco se destaca más que algunos más grandes», dijo Shegen, y señaló que aunque es un truco más pequeño en comparación con otros que han robado millones más, la similitud con Aave significa que «parece muy seguro, pero no lo era». y esta traición a la confianza duele”.
«Es como si ni siquiera pudieras confiar en el código ‘seguro'».
Investigador de seguridad de blockchain Mudit Gupta dice La diferencia entre Aave y Agave es que «Aave verifica activamente el reingreso antes de enumerar tokens en la red principal para evitar ataques similares».
Shegen declaró que no culpa a los desarrolladores de Agave por no prevenir el ataque.
«Agave se usó de manera insegura», dijo, «tal vez el desarrollador no debería haber permitido que se usaran tokens con retiros en la plataforma, o debería haber agregado más medidas de seguridad de reingreso».
«Curve, por ejemplo, no fue pirateada hoy porque tiene guardias de reingreso adicionales, pero realmente no culpo a Luigy y al equipo de Agave porque es muy poco probable que eso haya sucedido y mucha gente se habría escabullido».
Shegen tampoco culpó a Gnosis por crear tokens con una función de devolución de llamada, que el pirata informático explotó, diciendo que la función evita que los usuarios pierdan accidentalmente su criptografía.
«Esa es en realidad una gran característica para los tokens en puente, es solo una circunstancia realmente desafortunada y desafortunada en mi opinión».