Ngày 15/03/2022, một vụ tấn công vào các khoản vay nhanh của hai giao thức DeFi là Agave và Hundred Finance khiến giao thức này phải tạm dừng hoạt động.
Tin tặc đã rút hơn 11 triệu đô la từ Agave and Hundred Finance, gồm wETH, wBTC, ChainLink,USDC, Gnosis và wXDAI.Qua Twitter, cả hai nền tảng Defi đều xác nhận các vụ hack, nói rằng hợp đồng của họ đã bị tạm dừng để tránh thiệt hại thêm. Agave hiện đang điều tra vụ việc.
While we keep running an investigation to what appears to be a re-entrancy attack that affected Agave and @HundredFinance on @gnosischain, a thread to share some lights on what happened. https://t.co/fp5DX5es54
— Agave (@Agave_lending) March 15, 2022
Reentrancy là một lỗ hổng của ngôn ngữ lập trình Solidity cho phép kẻ tấn công lừa hợp đồng của giao thức để thực hiện cuộc gọi bên ngoài đến một hợp đồng không đáng tin cậy. Sau khi cuộc gọi xảy ra, tin tặc có thể sử dụng hợp đồng đáng ngờ này để thực hiện các cuộc gọi lặp đi lặp lại tới giao thức nhằm rửa số tiền đánh cắp được.
Đối với Agave và Hundred Finance, tin tặc đã đưa ra một lỗi gần đây trên cả hai giao thức cho phép khai thác khoản vay nhanh. Điều tương tự cũng cho phép tin tặc tiếp tục vay mượn từ các giao thức.
Có vẻ như kẻ tấn công đang thực hiện các cuộc gọi lặp đi lặp lại để rút tiền mà không cần thêm tài sản thế chấp. Đáng chú ý, địa chỉ liên quan đến kẻ tấn công đã gửi hơn 2.100ETH, trị giá hơn 5,5 triệu đô la, cho một máy trộn tiền kỹ thuật số để rửa các mã thông báo đã đánh cắp được.
Nhà nghiên cứu bảo mật Mudit Gupta cho rằng vụ hack có thể xảy ra vì các mã thông báo bắc cầu chính thức trên Gnosis là không chuẩn và có một móc gọi người nhận mã thông báo trong mỗi lần chuyển. Điều tương tự cho phép các cuộc tấn công gần đây.
Cuộc tấn công gần đây đánh dấu lần khai thác khoản vay chớp nhoáng thứ hai trong cùng ngày sau khi Deus Finance DAO mất 3 triệu đô la trong một cuộc tấn công tương tự. Agave là một nhánh của giao thức cho vay Aave.
Sau cuộc tấn công, cả hai mã thông báo của giao thức đều giảm giá. AGVE, mã thông báo của thị trường tiền tệ không giám sát và giao thức cho vay Agave, đã mất hơn 25% giá vào 15/3/2022. Tương tự như vậy, sau khi thông báo khai thác, mã thông báo HND của Hundred Finances đã giảm 5,8%.