कैसे ये दो डीआईएफआई प्रोटोकॉल $ 11 मिलियन ‘रीएंट्रेंसी अटैक’ के शिकार हुए

15 मार्च को एक हमलावर गबन दो . से $11 मिलियन से अधिक डेफी मंच, रामबांस तथा सौ वित्त. यह दोनों प्रोटोकॉल पर एक फ्लैश लोन ‘रीएंट्रेंसी अटैक’ प्रतीत हुआ सूक्ति श्रृंखला जांच के अनुसार। इसी तरह, प्लेटफार्मों ने अपने अनुबंधों को और नुकसान को रोकने के लिए रोक दिया।

नुकसान का आकलन

सॉलिडिटी डेवलपर और के निर्माता एनएफटी तरलता प्रोटोकॉल ऐप, शेगेन 16 मार्च को ट्वीट्स की एक श्रृंखला में हैक को उजागर करने के लिए चुना। हैरानी की बात है कि यह विश्लेषण उसी कारनामे में उपरोक्त इकाई को $ 225, 000 के नुकसान के बाद आया।

इस पर पहले से ही कुछ अच्छे सूत्र (और कुछ बुरे जो बहुत जल्द बोले गए) आ चुके हैं @Agave_lending तथा @हंड्रेड फाइनेंस आज हैक।

यहां मेरा विश्लेषण और प्रतिबिंब है, शोषण से $ 225k से अधिक खोने के बाद, और क्या हुआ इसका पता लगाया

– शेगन (@shegenerates) 15 मार्च 2022

उसकी प्रारंभिक जांच से पता चला कि हमले ने ग्नोसिस चेन पर एक wETH अनुबंध समारोह का फायदा उठाते हुए काम किया। इससे पहले कि ऐप्स ऋण की गणना कर सकें, इससे हमलावर को क्रिप्टो उधार लेना जारी रखने की अनुमति मिलती है, जो आगे उधार लेने से रोकेगा। एर्गो, अपराधी ने उसी संपार्श्विक के खिलाफ उधार लेकर उक्त कारनामे को अंजाम दिया, जब तक कि प्रोटोकॉल से धन की निकासी नहीं हो गई।

चीजों को बदतर बनाने के लिए, फंड सुरक्षित नहीं थे। ‘वे हमेशा के लिए चले गए हैं, लेकिन अभी भी आशा है,’ वह जोड़ा. उस ने कहा, ग्नोसिस के संस्थापक, मार्टिन कोप्पेलमैन ने अराजकता के बीच कुछ निश्चितता लाने के लिए ट्वीट किया था। कोप्पेलमैन ने जोर देकर कहा,

कोई वादा नहीं कर सकता, और पहले हमें वास्तव में समझना चाहिए कि क्या हुआ था। लेकिन मैं आम तौर पर एक GnosisDAO प्रस्ताव का समर्थन करता हूं जो उपयोगकर्ताओं को धन खोने से रोकने की कोशिश करेगा जैसे कि धन उधार लेना/निधि निवेश करना @Agave_lending

– मार्टिन कोप्पेलमैन (@koeppelmann) 15 मार्च 2022

कुछ और शोध के बाद, हमलावर ने कथित तौर पर इस अनुबंध को 3 कार्यों के साथ तैनात किया; ब्लॉक 2112283 और 21120284 में, हैकर ने सीधे प्रभावित प्रोटोकॉल, एगेव के साथ बातचीत करने के लिए अनुबंध का उपयोग किया। Agave पर स्मार्ट अनुबंध अनिवार्य रूप से Aave जैसा ही था, जिसने $18.4B प्राप्त किया।

जैसा कि में कोई शोषण की सूचना नहीं थी एएवीई, एगेव को कैसे सूखा जा सकता है? खैर, यहाँ एक . है सारांश यह कैसे असुरक्षित तरीके से “अनजाने में” इस्तेमाल किया गया था।

वेथ अनुबंध को पहली बार किसी व्यक्ति द्वारा जीसी में स्थानांतरित करने पर तैनात किया गया था। हर बार जब आप पुल पर एक नया टोकन लाते हैं, तो उसके लिए एक नया टोकन अनुबंध बनाया जाता है।

callAfterTransfer फ़ंक्शन आपको टोकन को सीधे पुल पर भेजने और उन्हें हमेशा के लिए खोने से रोकने में मदद करता है pic.twitter.com/ZiAZAcTtSI

– शेगन (@shegenerates) 15 मार्च 2022

उक्त हैकर एगेव में अपने संपार्श्विक से अधिक उधार लेने में सक्षम था। इस प्रकार, सभी उधार लेने योग्य संपत्तियों के साथ चलना।

स्रोत: ट्विटर

उधार की गई संपत्ति में 2,728.9 WETH, 243,423 USDC, 24,563 लिंक, 16.76 WBTC, 8,400 GNO और 347,787 WXDAI शामिल हैं। कुल मिलाकर, हैकर ने लगभग 11 मिलियन डॉलर कमाए।

बहरहाल, हमले को रोकने में विफल रहने के लिए शेगन ने एगेव डेवलपर्स को दोष नहीं दिया। उसने कहा, डेवलपर्स ने एक सुरक्षित और सुरक्षित एएवीई-आधारित कोड चलाया। यद्यपि उपयोग किया गया असुरक्षित टोकन के साथ, असुरक्षित तरीके से।

“जीसी पर सभी डीआईएफआई प्रोटोकॉल को नए के लिए मौजूदा ब्रिज किए गए टोकन को स्वैप करना चाहिए,” उसने निष्कर्ष निकाला।

ब्लॉकचेन सुरक्षा शोधकर्ता मुदित गुप्ता दोहराया शोषण के पीछे एक समान कारण।

एगेव और हंड्रेड फाइनेंस का आज ग्नोसिस चेन (पूर्व में xDAI) पर शोषण किया गया था।

हैक का मूल कारण यह है कि ग्नोसिस पर आधिकारिक ब्रिज किए गए टोकन गैर-मानक हैं और इसमें एक हुक होता है जो प्रत्येक हस्तांतरण पर टोकन रिसीवर को कॉल करता है। यह पुनर्वित्त हमलों को सक्षम बनाता है। pic.twitter.com/8MU8Pi9RQT

– मुदित गुप्ता (@Mudit__Gupta) 15 मार्च 2022

SHARE