기술

이 두 DeFi 프로토콜이 11만 달러의 '재진입 공격'의 희생양이 된 방법

03/16/2022
비트 코인 이더 리움 뉴스

15월 XNUMX일, 공격자 사이펀 11개에서 XNUMX만 달러 이상 DeFi 플랫폼, 용설란헌드레드 파이낸스. 이는 두 프로토콜 모두에서 플래시 대출 '재진입 공격'인 것으로 나타났습니다. 그노시스 체인 조사대로. 마찬가지로 플랫폼은 추가 피해를 방지하기 위해 계약을 중단했습니다.

피해 평가 

Solidity 개발자이자 제작자 NFT 유동성 프로토콜 앱, 셰겐 16월 225,000일 일련의 트윗을 통해 해킹을 강조하기로 결정했습니다. 놀랍게도 이 분석은 앞서 언급한 기업이 동일한 악용으로 XNUMX달러의 손실을 입은 후에 나온 것입니다.

그녀의 예비 조사에 따르면 공격은 노시스 체인(Gnosis Chain)의 wETH 계약 기능을 악용하여 이루어졌습니다. 이를 통해 공격자는 앱이 부채를 계산하기 전에 암호화폐를 계속 빌릴 수 있었고, 이로 인해 추가 대출이 방지되었습니다. 따라서 범인은 프로토콜에서 자금이 고갈될 때까지 자신이 게시한 동일한 담보를 빌려 해당 악용을 수행했습니다.

설상가상으로 자금은 안전하지 않았습니다. '그들은 거의 영원히 사라졌지만 여전히 희망은 있습니다'라고 그녀는 말했습니다. 추가. 그렇긴 하지만, 그노시스(Gnosis)의 창립자인 마틴 코펠만(Martin Koppelmann)은 혼란 속에서 확실성을 가져오기 위해 트윗을 했습니다. 코펠만은 다음과 같이 주장했다.

영상

추가 조사 후에 공격자는 이 계약을 3가지 기능으로 배포한 것으로 알려졌습니다. 블록 21120283 및 21120284에서 해커는 계약을 사용하여 영향을 받는 프로토콜인 Agave와 직접 상호 작용했습니다. Agave의 스마트 계약은 기본적으로 18.4억 달러를 확보한 Aave와 동일했습니다.

에 보고된 익스플로잇이 없었기 때문에 AAVE, 아가베는 어떻게 배수될 수 있나요? 음, 여기 개요 "의도하지 않게" 안전하지 않은 방식으로 사용된 방법에 대해 설명합니다.

해당 해커는 아가베에서 담보물보다 더 많은 돈을 빌릴 수 있었습니다. 따라서 차입 가능한 모든 자산을 가지고 떠나십시오.

출처: 트위터

차입 자산은 2,728.9 WETH, 243,423 USDC, 24,563 LINK, 16.76 WBTC, 8,400 GNO 및 347,787 WXDAI로 구성됩니다. 전체적으로 해커는 약 11만 달러를 벌어들였습니다.

그럼에도 불구하고 Shegen은 공격을 예방하지 못한 것에 대해 Agave 개발자를 비난하지 않았습니다. 그녀는 개발자들이 안전하고 안전한 AAVE 기반 코드를 실행했다고 말했습니다. 하지만 익숙한 안전하지 않은 방식으로 안전하지 않은 토큰을 사용합니다.

“GC의 모든 DeFi 프로토콜은 기존 브리지 토큰을 새 토큰으로 교체해야 합니다.”라고 그녀는 결론지었습니다.

블록체인 보안 연구원 무딧 굽타 반복 익스플로잇 뒤에 비슷한 원인이 있습니다.

출처: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/