Agave DAO dan Hundred Finance kena HACK kehilangan lebih dari Rp.167M Hilang
by cryptoblog Sumber : Rekt News
Masih sering kita lihat dan sepertinya belum juga berhenti serangan serangan ke DeFi ya guys.
Dua garpu bertemu nasib yang sama.
Agave DAO, (garpu Aave), dan Hundred Finance, (garpu Compound), keduanya menjadi korban serangan reentrancy yang sama.
2116 ETH ($ 5,5 juta) hilang dari Agave, dan 2363 ETH ($ 6,2 juta) dari Hundred Finance, memberikan total $ 11,7 juta yang dicuri oleh penyerang anonim.
Ini adalah serangan pertama yang kami lihat pada rantai Gnosis (xDai), dan pertama kali kami melihat dua protokol ditargetkan secara langsung seperti ini.
Namun, mengingat struktur DeFi saat ini, kerusakan ganda tidak mengejutkan.
Garpu demi garpu menciptakan rumah kartu. Jika kode disalin dan ditempel, kerentanan dapat terbuka di tempat yang paling tidak diharapkan.
Ketika satu garpu jatuh, semua garpu lainnya harus memeriksa fondasinya.
Kredit: Daniel Von Fange dan Mudit Gupta
Serangan dimungkinkan karena desain token xDAI yang berisi fungsi callAfterTransfer() yang menciptakan kerentanan reentrancy.
Menggunakan pinjaman kilat sebagai jaminan awal, penyerang menyarangkan fungsi pinjaman tambahan di dalam satu sama lain, meningkatkan jumlah pinjaman sebelum protokol dapat memperbarui saldo utang. Mengulangi proses ini menyebabkan aset pinjaman bernilai jauh lebih banyak daripada agunan yang diberikan.
Vektor serangan sama dengan kasus CREAM Finance senilai $18,8 juta pada Agustus lalu.
Agave DAO
Exploit tx (15 Maret-2022 11:25:40 +1 UTC)
Dana yang dicuri kemudian dikirim ke alamat ETH penyerang dan setelah beberapa jam 2116 ETH ($5,5 juta) dikirim ke Tornado Cash.
Seratus Keuangan
Exploit tx (15 Maret-2022 11:28:40 +1 UTC)
Dana yang dicuri kemudian dikirim ke alamat ETH penyerang dan setelah beberapa jam 2363 ETH ($6,2 juta) dikirim ke Tornado Cash.
Sementara harga HND tidak terlalu menderita akibat berita tersebut, AGVE anjlok >20%.
Forking kode yang kuat tidak cukup untuk memastikan keamanan setelah perubahan dilakukan. Keunikan setiap lingkungan baru membawa ancaman baru.
Dalam hal ini, desain Gnosis (xDai) mengungkapkan bahaya tersembunyi yang tidak dipertimbangkan saat mem-porting protokol dari Ethereum.
Meskipun kedua proyek adalah garpu dari protokol DeFi dasar (Aave dan Compound), proyek asli memiliki pemeriksaan ketat untuk menghindari token dengan kerentanan reentrancy untuk digunakan sebagai jaminan. Selain itu, seperti yang ditunjukkan oleh Mudit Gupta, mengikuti “pola interaksi-efek-cek” adalah cara lain untuk mengurangi serangan semacam itu agar tidak terjadi.
Entri lain di papan peringkat kami (#35), dan pelajaran lain diperoleh dengan cara yang sulit.
