Un pirata informático se ha llevado alrededor de $ 11 millones en Wrapped ETH (wETH), Wrapped BTC (wBTC), Chainlink (LINK), USD Coin (USDC), Gnosis (GNO) y Wrapped XDAI (wxDAI) después de piratear un «Re- entrada” a las aplicaciones de protocolo de préstamo de finanzas descentralizadas (DeFi) de Agave y Hundred Finance.
El ataque se produce dentro de las 24 horas posteriores a que el exploit Deus Finance se hiciera público, en el que los piratas informáticos robaron más de $ 3 millones en Dai (DAI) y Ether (ETH) de la plataforma del acuerdo de préstamo.
Agave token AGVE cayó un 20% después del ataque, según datos de CoinGecko. El token HND de Hundred Finances cayó un 3,5% después de anunciar el exploit. Sin embargo, desde entonces se recuperó y alcanzó un máximo de 24 horas.
«Agave está investigando actualmente un exploit en el protocolo financiero de Agave», dice Agave tuiteó el martes. “Le informaremos tan pronto como sepamos más.” Señaló que los contratos han sido suspendidos hasta que se resuelva la situación.
El equipo de Hundred Finance también tuiteó que fue explotado en la cadena Gnosis y detuvo sus mercados mientras realizaba investigaciones.
Según el análisis en cadena, la dirección asociada con el atacante envió más de 2100 ETH por un valor de más de $ 5,5 millones a un mezclador de cifrado para lavar los tokens robados.
Relacionados:Exploit financiero de Deus: los piratas informáticos se salen con la suya con $ 3 millones en DAI y Ether
La desarrolladora de Solidity y creadora de una aplicación de registro de liquidez de NFT, Shegen (@shegenerates), tuiteó que perdió $225,000 en el exploit. Sus investigaciones revelaron que el ataque funcionó al explotar una función de contrato wETH en Gnosis Chain, lo que permitió al atacante continuar tomando prestadas criptomonedas antes de que las aplicaciones pudieran calcular la deuda, evitando más préstamos.
El atacante realizó esta hazaña y tomó prestado continuamente contra la misma garantía que había depositado hasta que los fondos se retiraron de los registros.
Shegen le dijo a Cointelegraph que, si bien el contrato inteligente de Agave es esencialmente el mismo que el de Aave, que asegura USD 18,400 millones, «todos los investigadores de seguridad lo han verificado», dijo. «Por lo tanto, es razonable suponer que el contrato es seguro».
«Creo que este truco se destaca más que algunos más grandes», dijo Shegen, y señaló que incluso si fue un truco más pequeño en comparación con otros que robaron millones más, la similitud con Aave significaba que «parecía ser muy seguro, pero no lo era». ‘t, y esa traición a la confianza duele».
«Es como si ni siquiera pudieras confiar en un código ‘seguro'».
Investigador de seguridad de blockchain Mudit Gupta dice La diferencia entre Aave y Agave es que «Aave verifica activamente el reingreso antes de enumerar tokens en la red principal para evitar ataques similares».
Shegen declaró que no culpa a los desarrolladores de Agave por no prevenir el ataque.
«El agave se ha utilizado de manera insegura», dijo. «Tal vez el desarrollador no debería haber permitido el uso de tokens con devoluciones de llamada en la plataforma o agregado más guardias de reingreso».
«Curve, por ejemplo, no fue pirateada hoy porque tiene guardias de reingreso adicionales, pero realmente no culpo a Luigy y al equipo de Agave porque es muy poco probable que eso haya sucedido y mucha gente se habría escabullido».
Shegen tampoco culpó a Gnosis por crear tokens con una función de devolución de llamada, que el pirata informático explotó, diciendo que la función evita que los usuarios pierdan accidentalmente su criptografía.
«Esa es en realidad una gran característica para los tokens en puente, es solo una circunstancia realmente desafortunada y desafortunada en mi opinión».
