Nicht eines, sondern zwei DeFi-Protokolle (Decentralized Finance) – Agave und Hundred Finance – wurden in einem neuen Fall eines „Wiedereintritts“-Angriffs ausgenutzt.
Berichten zufolge gelang es dem Hacker, Gelder im Wert von 11 Millionen US-Dollar in Wrapped ETH, Wrapped BTC, ChainlinkUSDC, Gnosis und Wrapped XDAI auf beiden DeFi-Protokollen in der Gnosis-Kette unter Verwendung eines Flash-Darlehen-Exploits.
Die Hacks
Anhand der auf Tenderly verfügbaren Daten für beide Verstöße wurde festgestellt, dass der Hacker einen Wiedereintrittsfehler in den beiden Protokollen ausgenutzt hat.
Für Uneingeweihte ist „Re-Entrancy“ eine Schwachstelle in der Programmiersprache Solidity, die es einer böswilligen Entität ermöglicht, den Smart Contract eines Protokolls zu täuschen, um einen externen Aufruf an einen nicht vertrauenswürdigen Vertrag zu tätigen. Nachdem der Angreifer die Kontrolle über den nicht vertrauenswürdigen Vertrag erlangt hat, kann er die ursprüngliche Funktion rekursiv aufrufen, um deren Geld zu entziehen.
Der Blockchain- und Sicherheitsforscher Mudit Gupta enthüllte, dass die offiziellen überbrückten Token auf Gnosis die Hauptschuldigen sind, und erklärte, dass sie „nicht standardisiert sind und einen Haken haben, der den Token-Empfänger bei jeder Übertragung anruft“. Er fügte hinzu, dass dies das ist, was Wiedereintrittsangriffe ermöglicht.
Agave ist eine Gabelung der DeFi-Kreditplattform Aave, während das Multi-Chain-Kreditprojekt Hundred Finance eine Gabelung von Compound ist. Gupta behauptete auch, dass Compound nicht dem empfohlenen Checks-Effects-Interactions-Muster folgt, obwohl er sich darauf bezog.
Die Wiedereintrittsangriffe werden umwerfender, da „der Code Interaktionen ausführt, bevor er die Effekte anwendet“. Auf der anderen Seite versucht Aave, dem oben erwähnten Checks-Effects-Interactions-Muster zu folgen. Es gibt jedoch einen Weg über Liquidationen, mit dem der Angreifer bei dem jüngsten Angriff „das Muster durchbrochen“ hat. Er fügte hinzu,
„Die Agave- und Hundert-Protokollteams haben es vermasselt, indem sie einen Token aufgelistet haben, der wieder eintreten kann. Aave und Compound Governance prüfen aktiv auf Wiedereintritt, bevor sie Token im Mainnet auflisten, um ähnliche Angriffe zu vermeiden.“
Die beliebte DeFi-Kreditplattform Cream Finance, die eine ähnliche Codebasis wie Compound hat, wurde im August letzten Jahres auch bei einem 18,8-Millionen-Dollar-Flash-Loan-Reentrancy-Angriff ausgenutzt.
Fonds sind kein SAFU
Laut einem Entwickler des DeFi-Protokolls DanceFloor, „Shegan“, sind die Gelder nicht sicher. Martin Köppelmann, der Gründer von Gnosis, sagte jedoch, er werde eine Maßnahme der DAO unterstützen. Das Team hinter Hundred Finance und Agave untersucht derzeit die Exploits und hat die Verträge pausiert.