Le 15 mars, un attaquant a détourné plus de 11 millions de dollars de deux plates-formes DeFi, Agave et Cent Finances. Selon l’enquête, il s’agissait d’une «attaque de réentrance» de prêt flash sur les deux protocoles de la chaîne Gnosis. De même, les plateformes ont interrompu leurs contrats pour éviter de nouveaux dégâts.
Evaluer les dégâts
Développeur Solidity et créateur d’une application de protocole de liquidité NFT, Shegen a choisi de mettre en avant le piratage dans une série de tweets le 16 mars. Étonnamment, cette analyse est intervenue après que l’entité susmentionnée ait perdu 225 000 $ dans le même exploit.
Il y a déjà eu quelques bons sujets (et quelques mauvais qui ont parlé trop tôt) sur le @Agave_lending et @HundredFinance hacks aujourd’hui.
Voici mon analyse et ma réflexion, après avoir perdu plus de 225 000 $ à cause de l’exploit, et exploré ce qui s’est passé 👇
– Shegen (@shegenerates) 15 mars 2022
Ses enquêtes préliminaires ont révélé que l’attaque fonctionnait en exploitant une fonction de contrat wETH sur Gnosis Chain. Cela a permis à l’attaquant de continuer à emprunter de la crypto avant que les applications ne puissent calculer la dette, ce qui empêcherait d’autres emprunts. Ergo, le coupable a réalisé ledit exploit en empruntant contre la même garantie qu’ils ont déposée jusqu’à ce que les fonds soient épuisés des protocoles.
Pour aggraver les choses, les fonds n’étaient pas en sécurité. « Ils sont pratiquement partis pour toujours, mais il y a encore de l’espoir », a-t-elle déclaré. ajoutée. Cela dit, le fondateur de Gnosis, Martin Koppelmann, a tweeté pour apporter une certaine certitude au milieu du chaos. Koppelmann a affirmé,
ne pouvons rien promettre, et nous devons d’abord vraiment comprendre ce qui s’est passé. Mais je serais généralement favorable à une proposition de GnosisDAO qui tenterait d’empêcher les utilisateurs de perdre des fonds, par exemple en empruntant des fonds/en investissant des fonds dans @Agave_lending
— Martin Köppelmann 🇺🇦 (@koeppelmann) 15 mars 2022
Après quelques recherches plus poussées, l’attaquant aurait déployé ce contrat avec 3 fonctions ; Dans les blocs 21120283 et 21120284, le pirate a utilisé le contrat pour interagir directement avec le protocole concerné, Agave. Le contrat intelligent sur Agave était essentiellement le même que celui d’Aave, qui a obtenu 18,4 milliards de dollars.
Comme aucun exploit n’a été signalé dans AAVE, comment Agave pourrait-il être drainé ? Eh bien, voici un sommaire de la façon dont il a été utilisé de manière dangereuse « involontairement ».
Le contrat weth a été déployé la première fois que quelqu’un a déménagé à GC. Chaque fois que vous apportez un nouveau jeton sur le pont, un nouveau contrat de jeton est créé pour celui-ci.
La fonction callAfterTransfer vous permet d’éviter d’envoyer des jetons directement au pont et de les perdre à jamais pic.twitter.com/ZiAZAcTtSI
– Shegen (@shegenerates) 15 mars 2022
Ledit hacker a pu emprunter plus que sa garantie en agave. Ainsi, repartir avec tous les actifs empruntables.
La source: Twitter
Les actifs empruntés comprenaient 2 728,9 WETH, 243 423 USDC, 24 563 LINK, 16,76 WBTC, 8 400 GNO et 347 787 WXDAI. Dans l’ensemble, le pirate s’est emparé d’environ 11 millions de dollars.
Néanmoins, Shegen n’a pas reproché aux développeurs d’Agave de ne pas avoir empêché l’attaque. Elle a dit que les développeurs ont exécuté un code basé sur AAVE sécurisé et sûr. Bien que utilisé avec des jetons non sécurisés, de manière non sécurisée.
« Tous les protocoles DeFi sur GC devraient remplacer les jetons pontés existants par de nouveaux », a-t-elle conclu.
Mudit Gupta, chercheur en sécurité de la blockchain réitéré une cause similaire derrière l’exploit.
Agave et Hundred Finance étaient aujourd’hui exploités sur la chaîne Gnosis (anciennement xDAI).
La raison sous-jacente du piratage est que les jetons pontés officiels sur Gnosis ne sont pas standard et ont un crochet qui appelle le récepteur du jeton à chaque transfert. Cela permet des attaques par réentrance. pic.twitter.com/8MU8Pi9RQT
– Mudit Gupta (@Mudit__Gupta) 15 mars 2022
