Seorang peretas mencuri sekitar $11 juta dalam Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis, dan Wrapped XDAI setelah serangan "reentrancy" pada aplikasi protokol peminjaman DeFi Agave dan Hundred Finance.
Serangan itu terjadi dalam waktu 24 jam setelah berita tentang pelanggaran Deus Finance, dengan peretas mencuri lebih dari $3 juta di Dai dan ETH dari platform kontrak peminjaman Deus Finance.
Token Agave, AGVE, turun 20 persen setelah serangan itu, menurut data dari CoinGecko. Token Hundred Finances, HND, turun 3,5% setelah pelanggaran diumumkan, tetapi sejak itu pulih ke level tertinggi 24 jam.
"Agave saat ini sedang menyelidiki kerentanan dalam protokol Agave Finance," tweet Agave pada pukul 13:30 UTC pada hari Selasa tanggal 15, "Kami akan mengabari Anda segera setelah kami mengetahui lebih banyak informasi." Ia mencatat bahwa kontrak telah ditangguhkan sampai situasinya diselesaikan.
Tim Hundred Finance juga men-tweet bahwa mereka telah dieksploitasi di Rantai Gnosis dan menangguhkan pasarnya saat sedang menyelidiki.
Menurut analisis on-chain, alamat yang terkait dengan penyerang telah mengirim lebih dari 2.100 ETH, senilai lebih dari $5,5 juta, ke mixer cryptocurrency dalam upaya untuk mencuci koin yang dicuri.
Pengembang soliditas dan pembuat aplikasi protokol likuiditas NFT Shegen (@shegenerates) men-tweet bahwa dia kehilangan $225.000 dalam eksploitasi, yang menurut penyelidikannya dieksploitasi dengan mengeksploitasi wETH pada fungsi kontrak Rantai Gnosis yang memungkinkan penyerang untuk terus meminjam mata uang kripto hingga aplikasi dapat menghitung hutang, yang akan mencegah pinjaman lebih lanjut.
Penyerang mengeksploitasi kerentanan ini dengan berulang kali meminjamkan dan meminjamkan dengan agunan yang sama yang mereka posting hingga dana terkuras dari protokol.
Shegen memberi tahu Cointelegraph bahwa meskipun kontrak pintar di Agave pada dasarnya sama dengan Aave, yang menghasilkan $18,4 miliar, "itu telah diaudit oleh setiap peneliti keamanan," katanya, "jadi masuk akal untuk berasumsi bahwa kontrak itu aman." .
"Saya pikir peretasan ini lebih menonjol daripada serangan lain yang lebih besar," kata Shegen, mencatat bahwa meskipun peretasan itu kecil dibandingkan dengan peretasan lain yang telah mencuri jutaan dolar, tetapi kesamaan dengan Aave berarti, "Tampaknya tingkat atas keamanan, tetapi tidak, dan merusak kepercayaan itu menyakitkan."
"Sepertinya Anda bahkan tidak bisa mempercayai kode 'aman'."
Mudit Gupta, seorang peneliti keamanan blockchain, mengatakan bahwa perbedaan antara Aave dan Agave adalah bahwa "Aave akan secara aktif memeriksa masuk kembali sebelum mendaftarkan token di mainnet untuk menghindari serangan serupa."
Shegen mengatakan dia tidak menyalahkan pengembang Agave karena gagal mencegah serangan itu.
“Agave digunakan dengan cara yang tidak aman,” katanya, “Mungkin pengembang seharusnya tidak mengizinkan token dengan panggilan balik untuk digunakan di platform, atau menambahkan lebih banyak perlindungan reentrancy.”
"Curve, misalnya, tidak diretas hari ini karena memiliki perlindungan masuk kembali ekstra, tetapi saya sebenarnya tidak menyalahkan Luigy dan tim Agave karena sangat kecil kemungkinannya terjadi, dan melewati banyak orang."
Shegen juga tidak menyalahkan Gnosis, meskipun itu menciptakan token yang mendukung panggilan balik yang dieksploitasi oleh para peretas. Shegen mengatakan fitur ini dapat mencegah pengguna kehilangan cryptocurrency mereka secara tidak sengaja.
“Ini sebenarnya adalah fungsi dari token jembatan yang bagus, dan ini hanya situasi yang sangat disayangkan dan tidak menguntungkan menurut saya.”