Non uno, ma due protocolli di finanza decentralizzata (DeFi) – Agave e Hundred Finance – sono stati sfruttati in un nuovo caso di attacco di "rientro".
Secondo quanto riferito, l'hacker è riuscito a sottrarre fondi per un valore di $ 11 milioni in Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis e Wrapped XDAI su entrambi i protocolli DeFi sulla catena Gnosis utilizzando un exploit di prestito flash.
Gli hack
Analizzando i dati disponibili su Tenderly per entrambe le violazioni , è emerso che l'hacker ha sfruttato un bug di rientro nei due protocolli.
Per chi non lo sapesse, il "rientro" è una vulnerabilità nel linguaggio di programmazione Solidity che consente a un'entità dannosa di ingannare lo smart contract di un protocollo facendogli effettuare una chiamata esterna a un contratto non attendibile. Dopo che l'attaccante ha ottenuto il controllo del contratto non attendibile, può effettuare chiamate ricorsive alla funzione originale per drenarne i fondi.
Blockchain e ricercatore di sicurezza, Mudit Gupta, hanno rivelato che i token bridge ufficiali su Gnosis sono i principali colpevoli e hanno affermato che sono "non standard e hanno un hook che chiama il ricevitore del token ad ogni trasferimento". Ha aggiunto che questo è ciò che consente gli attacchi di rientro.
Agave è un fork della piattaforma di prestito DeFi Aave, mentre il progetto di prestito multi-catena, Hundred Finance, è un fork di Compound. Gupta ha anche affermato che Compound non segue il modello di controlli-effetti-interazioni raccomandato nonostante si riferisca ad esso.
Gli attacchi di rientro diventano più sbalorditivi poiché "il codice esegue le interazioni prima di applicare gli effetti". D'altra parte, Aave cerca di seguire il già citato schema controlli-effetti-interazioni. Tuttavia, esiste un percorso attraverso le liquidazioni con cui l'attaccante "ha infranto lo schema" nel recente attacco. Ha continuato aggiungendo,
“Le squadre dell'agave e dei cento protocolli hanno sbagliato elencando un token che può rientrare. Aave e la governance composta controllano attivamente il rientro prima di elencare i token sulla rete principale per evitare attacchi simili".
La popolare piattaforma di prestito DeFi Cream Finance, che condivide una base di codice simile a quella di Compound, è stata anche sfruttata in un attacco di rientro del prestito flash da 18,8 milioni di dollari nell'agosto dello scorso anno.
I fondi non sono SAFU
Secondo uno sviluppatore del protocollo DeFi DanceFloor, "Shegan", i fondi non sono al sicuro. Tuttavia, Martin Köppelmann, il fondatore di Gnosis, ha affermato che sosterrà una misura del DAO. Il team dietro Hundred Finance e Agave sta attualmente indagando sugli exploit e ha sospeso i contratti.