Comment ces deux protocoles DeFi sont devenus la proie d’une « attaque de réentrance » de 11 millions de dollars

Temps de lecture :3 Minutes, 21 Secondes

Le 15 mars, un attaquant a détourné plus de 11 millions de dollars de deux plates-formes DeFi, Agave et Cent Finances. Selon l’enquête, il s’agissait d’une «attaque de réentrance» de prêt flash sur les deux protocoles de la chaîne Gnosis. De même, les plateformes ont interrompu leurs contrats pour éviter de nouveaux dégâts.

Evaluer les dégâts

Développeur Solidity et créateur d’une application de protocole de liquidité NFT, Shegen a choisi de mettre en avant le piratage dans une série de tweets le 16 mars. Étonnamment, cette analyse est intervenue après que l’entité susmentionnée ait perdu 225 000 $ dans le même exploit.

Ses enquêtes préliminaires ont révélé que l’attaque fonctionnait en exploitant une fonction de contrat wETH sur Gnosis Chain. Cela a permis à l’attaquant de continuer à emprunter de la crypto avant que les applications ne puissent calculer la dette, ce qui empêcherait d’autres emprunts. Ergo, le coupable a réalisé ledit exploit en empruntant contre la même garantie qu’ils ont déposée jusqu’à ce que les fonds soient épuisés des protocoles.

Réduisez vos frais d’échanges
Les frais d’échanges peuvent représenter plusieurs centaines de dollars chaque année. Pour cette raison, les bons tradeurs cherchent à les réduire car ils peuvent impacter fortement leurs résultats. Vous aussi vous pouvez le faire grâce aux liens ci-dessous :

Pour aggraver les choses, les fonds n’étaient pas en sécurité. « Ils sont pratiquement partis pour toujours, mais il y a encore de l’espoir », a-t-elle déclaré. ajoutée. Cela dit, le fondateur de Gnosis, Martin Koppelmann, a tweeté pour apporter une certaine certitude au milieu du chaos. Koppelmann a affirmé,

Après quelques recherches plus poussées, l’attaquant aurait déployé ce contrat avec 3 fonctions ; Dans les blocs 21120283 et 21120284, le pirate a utilisé le contrat pour interagir directement avec le protocole concerné, Agave. Le contrat intelligent sur Agave était essentiellement le même que celui d’Aave, qui a obtenu 18,4 milliards de dollars.

Comme aucun exploit n’a été signalé dans AAVE, comment Agave pourrait-il être drainé ? Eh bien, voici un sommaire de la façon dont il a été utilisé de manière dangereuse « involontairement ».

Ledit hacker a pu emprunter plus que sa garantie en agave. Ainsi, repartir avec tous les actifs empruntables.

La source: Twitter

Les actifs empruntés comprenaient 2 728,9 WETH, 243 423 USDC, 24 563 LINK, 16,76 WBTC, 8 400 GNO et 347 787 WXDAI. Dans l’ensemble, le pirate s’est emparé d’environ 11 millions de dollars.

Néanmoins, Shegen n’a pas reproché aux développeurs d’Agave de ne pas avoir empêché l’attaque. Elle a dit que les développeurs ont exécuté un code basé sur AAVE sécurisé et sûr. Bien que utilisé avec des jetons non sécurisés, de manière non sécurisée.

« Tous les protocoles DeFi sur GC devraient remplacer les jetons pontés existants par de nouveaux », a-t-elle conclu.

Mudit Gupta, chercheur en sécurité de la blockchain réitéré une cause similaire derrière l’exploit.



Voir l’article original sur ambcrypto.com