「残念」: Agave と Hundred Finance DeFi プロトコルから 1,100 万ドルが盗まれる

DeFi融資プロトコルアプリのAgaveとHundred Financeに対する「リエントランシー」攻撃の後、ハッカーがWrapped ETH、Wrapped BTC、Chainlink、USDC、Gnosis、Wrapped XDAIの約1,100万ドルを盗みました。

この攻撃は、Deus Finance 侵害のニュースから 24 時間以内に発生し、ハッカーは融資契約プラットフォーム Deus Finance から 300 万ドル以上の Dai と ETH を盗みました。

CoinGeckoのデータによると、アガベのトークンAGVEは攻撃後20％下落した。ハンドレッド・ファイナンスのトークンであるHNDは、侵害の発表後3.5％下落したが、その後24時間の高値まで回復した。

アガベは15日火曜日午後1時30分（協定世界時）に「アガベは現在、アガベ・ファイナンス・プロトコルの脆弱性を調査している」とツイートし、「さらなる情報が分かり次第、お知らせする」と述べた。状況が解決するまで契約を一時停止するとした。

ハンドレッド・ファイナンス・チームも、グノーシス・チェーン上で悪用され、調査中にマーケットプレイスを停止したとツイートした。

オンチェーン分析によると、攻撃者に関連するアドレスは、盗まれたコインを洗浄する目的で、550万ドル以上に相当する2,100 ETH以上を暗号通貨ミキサーに送金しました。

Solidityの開発者であり、NFT流動性プロトコルアプリの作成者であるShegen（@shegenerates）は、このエクスプロイトで225,000ドルを失ったとツイートしました。彼女の調査により、これはGnosis Chain上のwETHを悪用することによって悪用されたことが明らかになりました。アプリケーションは負債を計算できるため、さらなる借入を防ぐことができます。

攻撃者は、プロトコルから資金が枯渇するまで、同じ担保を差し入れて貸し借りを繰り返すことでこの脆弱性を悪用します。

シェゲン氏はコインテレグラフに対し、Agaveのスマートコントラクトは184億ドルを確保したAaveと本質的に同じだが、「すべてのセキュリティ研究者によって監査されている」と述べ、「そのため、契約が安全であると考えるのは合理的だ」と語った。

「このハッキングは他の大規模な攻撃よりも注目に値すると思います」とシェゲン氏は述べ、このハッキングは数百万ドルを盗んだ他のハッキングと比べれば小規模だったが、Aaveとの類似点は「トップレベルのものであるようだ」と指摘した。セキュリティは確保されていますが、そうではなく、その信頼が崩れるのは痛ましいことです。」

「『安全な』コードさえ信頼できないようなものです。」

ブロックチェーンセキュリティ研究者のムディット・グプタ氏は、AaveとAgaveの違いは「Aaveは同様の攻撃を避けるため、メインネットにトークンをリストする前に再入性を積極的にチェックする」と述べた。

シェゲン氏は、攻撃を阻止できなかったアガベの開発者を責めるつもりはないと語った。

「Agave は安全でない方法で使用されています。おそらく、開発者はプラットフォーム上でのコールバック付きトークンの使用を許可しないか、再入保護を追加すべきではありません。」と彼女は言いました。

「たとえば、Curve は今日ハッキングされませんでした。特別な再入保護機能があったからです。しかし、私は実際には Luigy と Agave チームを責めません。なぜなら、それが起こる可能性は非常に低いし、多くの人を通過させたからです。」

シェゲン氏はまた、ハッカーが悪用したコールバック対応トークンを作成したにもかかわらず、グノーシスに責任を指摘しなかった。シェゲン氏は、この機能によりユーザーが誤って暗号通貨を失うことを防ぐことができると述べた。

「これは実際、優れたブリッジトークンの機能であり、私の意見では、非常に残念で不運な状況です。」