"불운": Agave 및 Hundred Finance DeFi 프로토콜에서 1,100만 달러 도난

해커가 DeFi 대출 프로토콜 앱 Agave 및 Hundred Finance에 대한 "재진입" 공격 후 Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis 및 Wrapped XDAI에서 약 1,100만 달러를 훔쳤습니다.

이 공격은 Deus Finance 위반 소식이 알려진 지 24시간 이내에 해커가 대출 계약 플랫폼 Deus Finance에서 300만 달러 이상의 Dai와 ETH를 훔쳤습니다.

CoinGecko의 데이터에 따르면 Agave의 토큰인 AGVE는 공격 후 20% 하락했습니다. Hundred Finances의 토큰 HND는 위반이 발표된 후 3.5% 하락했지만 이후 24시간 최고치로 회복되었습니다.

Agave는 15일 화요일 오후 1시 30분(UTC)에 "Agave는 현재 Agave Finance 프로토콜의 취약점을 조사하고 있습니다. 더 많은 정보를 알게 되는 대로 알려드리겠습니다."라고 트윗했습니다. 사태가 진정될 때까지 계약을 멈췄다고 밝혔습니다.

Hundred Finance 팀은 또한 Gnosis 체인에서 악용되었으며 조사하는 동안 시장을 중단했다고 트윗했습니다.

온체인 분석에 따르면 공격자와 관련된 주소는 550만 달러 이상의 가치가 있는 2,100개 이상의 ETH를 훔친 코인을 세탁하기 위해 암호화폐 믹서에 보냈습니다.

솔리디티(Solidity) 개발자이자 NFT 유동성 프로토콜 앱 제작자인 Shegen(@shegenerates)은 공격으로 인해 $225,000의 손실을 입었다고 트윗했습니다. 그녀의 조사에 따르면 노시스 체인(Gnosis Chain)에서 wETH를 악용하여 공격자가 암호화폐를 계속 빌릴 수 있는 계약 기능이 있습니다. 응용 프로그램은 부채를 계산할 수 있으므로 추가 대출을 방지할 수 있습니다.

공격자는 자금이 프로토콜에서 고갈될 때까지 게시한 동일한 담보로 반복적으로 대출 및 대출함으로써 이 취약점을 악용합니다.

Shegen은 Cointelegraph에 Agave의 스마트 계약은 본질적으로 184억 달러를 확보하는 Aave와 동일하지만 "모든 보안 연구원의 감사를 받았기 때문에 계약이 안전하다고 가정하는 것이 합리적"이라고 말했습니다.

Shegen은 "이번 해킹은 다른 대형 공격보다 눈에 띈다고 생각한다"며 수백만 달러를 훔친 다른 해킹에 비해 해킹 규모는 작았지만 Aave와 유사한 점은 "최상위 수준인 것으로 보인다"고 말했다. 안전하지만 그렇지 않고 신뢰가 깨지면 상처를 받습니다."

"'안전한' 코드조차 믿을 수 없는 것과 같습니다."

블록체인 보안 연구원 무딧 굽타(Mudit Gupta)는 Aave와 Agave의 차이점은 “Aave는 유사한 공격을 피하기 위해 메인넷에 토큰을 상장하기 전에 재진입 여부를 적극적으로 확인할 것”이라고 말했다.

Shegen은 공격을 막지 못한 것에 대해 Agave의 개발자를 비난하지 않는다고 말했습니다.

그녀는 "아가베가 안전하지 않은 방식으로 사용되고 있다"며 "아마도 개발자는 콜백이 있는 토큰이 플랫폼에서 사용되는 것을 허용하지 않거나 더 많은 재진입 보호를 추가해야 할 것"이라고 말했다.

"예를 들어, Curve는 추가 재진입 보호 기능이 있기 때문에 오늘 해킹되지 않았지만 실제로 Luigy와 Agave 팀을 비난하지는 않습니다. 발생할 가능성이 매우 낮고 많은 사람들을 통과했기 때문입니다."

Shegen은 해커가 악용하는 콜백 가능 토큰을 생성했지만 Gnosis를 비난하지 않았습니다. Shegen은 이 기능이 사용자가 실수로 암호화폐를 잃어버리는 것을 방지할 수 있다고 말했습니다.

"이것은 실제로 좋은 브리지 토큰의 기능이며 제 생각에는 매우 불행하고 불행한 상황입니다."