Gnosis 鏈上 Hundred Finance 與 Agave 遭駭！損失 1,100 萬鎂、4,479 ETH 已轉入Tornado

提供多鏈借貸服務的 Defi 項目 Hundred Finance 和 Agave 昨 (15) 日驚傳遭駭，兩個項目運行在 Gnosis 鏈上的資金被發起閃電貸攻擊，總計損失高達 1,100 萬美元。目前駭客已將被害資金轉移至了混幣器 Tornado Cash。

Compound 分叉項目 Hundred Finance 昨 (15) 日深夜在官方推特發文證明，該項目以及 Aave 分叉項目 Agave 在 Gnosis （前身 xDAI）鏈上遭到駭客攻擊，目前已暫停所有市場的交易，正在進一步調查中。

不幸的是，Hundred 和 Agave 今天都在 Gnosis 鏈上被攻擊了。 Gnosis 團隊正在進行調查中。

所有 Hundred 鏈上的市場都暫停了。

Unfortunately Hundred and Agave have both been exploited on Gnosis chain today. Gnosis team is aware, investigation is ongoing.

All the Hundred markets on all chains paused for now.

These are the two transactions:
Hundred https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4

— Hundred Finance (@HundredFinance) March 15, 2022

被駭客攻擊的原因

據《The Block》，從鏈上數據分析平台 Tenderly 所提供的交易數據判斷，駭客是向兩個協議中的漏洞發起重入攻擊（Reentrancy attacks）。Reentrancy 是一種 Solidity 的漏洞，它允許攻擊者欺騙協議的合約對不受信任的合約進行外部調用。

在 Agave 和 Hundred Finance 的案例中，駭客在兩種協議上都引入了可重入漏洞，從而發起閃電貸攻擊，反複調用這個不受信任的合約以耗盡協議內資金。

鏈上安全研究員 Mudit Gupta 發文進一步說明 Hundred Finance 被駭的狀況：

攻擊者基本上存入了 200 萬美元作為抵押品，並通過利用可重入性借入了高達 150 萬美元的其他資產。…在系統記錄他們的債務之前，他們又重新進入並借了第二次 150 萬美元。

這使得他們的債務為 300 萬美元，而他們的抵押品僅為 200 萬美元。他們重複此操作以借用所有可用資產。…由於他們的債務超過了他們的抵押品，協議無法清算他們。

Agave and Hundred Finance were exploited today on Gnosis chain (formerly xDAI).

The underlying reason for the hack is that the official bridged tokens on Gnosis are non-standard and have a hook that calls the token receiver on every transfer. This enables reentrancy attacks. pic.twitter.com/8MU8Pi9RQT

— Mudit Gupta (@Mudit__Gupta) March 15, 2022

區塊鏈安全公司 Fairyproof Tech 也在稍早發文表示，這次攻擊的發生，是因為轉移 ERC-677 代幣時，因為一個名為「transferAndCall」的重入漏洞所引起。並提供三點給開發者的建議：

1. 執行代幣合約時，在行動之前改變狀態
2. 注意 ERC-20 代幣和 ERC-677 代幣之間的區別
3. 添加上鎖功能，防止重要用戶介面的重入攻擊

3) Suggestions to developers:

1. Change status prior to actions when implementing a contract such as a token contract.
2. Be aware of the differences between an ERC-20 token and an ERC-677 token
3. Add locks to prevent re-entrancy attacks for important user interfaces

— Fairyproof Tech (@FairyproofT) March 16, 2022

損失金額高達 1,100 萬美元

據了解，攻擊者從 Agave 和 Hundred Finance 竊取金額超過 1,100 萬美元。此外據鏈上數據顯示，標記為駭客地址的資金已經被轉移到混幣器 Tornado Cash，以逃避追蹤。

延伸閱讀：反洗錢專欄｜揭開混幣平台 Tornado.Cash 的匿名面紗 

據 PeckShieldAlert 兩則警報，截至目前駭客已將 4,479 ETH 轉入 Tornado Cash。

📍相關報導📍

TreasureDAO遭攻擊、100多個NFT被盜！MAGIC暴跌30%；駭客歸還部分盜竊NFT

匿名者｜駭客組織Anonymous癱瘓網站、衛星！籲俄軍繳械 : 一坦克換5.2萬鎂比特幣

讓動區 Telegram 新聞頻道再次強大！！立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務