15 मार्च को एक हमलावर गबन दो से $11 मिलियन से अधिक Defi प्लेटफार्मों, रामबांस और सौ वित्त. यह दोनों प्रोटोकॉल पर एक त्वरित ऋण 'पुनर्प्रवेश हमला' प्रतीत होता है सूक्ति श्रृंखला जांच के अनुसार. इसी तरह, प्लेटफ़ॉर्म ने आगे की क्षति को रोकने के लिए अपने अनुबंध रोक दिए।
नुकसान का आकलन
सॉलिडिटी डेवलपर और निर्माता NFT तरलता प्रोटोकॉल ऐप, शेगेन 16 मार्च को ट्वीट्स की एक श्रृंखला में हैक को उजागर करने का विकल्प चुना। आश्चर्यजनक रूप से, यह विश्लेषण उपरोक्त इकाई द्वारा उसी शोषण में $225,000 खोने के बाद आया है।
इस पर पहले से ही कुछ अच्छे सूत्र मौजूद हैं (और कुछ बुरे सूत्र जो बहुत जल्दी चर्चा में आ गए)। @Agave_lending और @हंड्रेडफाइनेंस आज हैक.
यहाँ मेरा विश्लेषण और प्रतिबिंब है, शोषण से $ 225k से अधिक खोने के बाद, और पता लगाया कि क्या हुआ?
- शेगेन (@shegenerates) मार्च २०,२०२१
उसकी प्रारंभिक जांच से पता चला कि हमला ग्नोसिस चेन पर wETH अनुबंध फ़ंक्शन का शोषण करके किया गया था। इसने हमलावर को ऐप्स द्वारा ऋण की गणना करने से पहले क्रिप्टो उधार लेना जारी रखने की अनुमति दी, जो आगे उधार लेने से रोकेगा। एर्गो, अपराधी ने प्रोटोकॉल से धन समाप्त होने तक पोस्ट की गई उसी संपार्श्विक के विरुद्ध उधार लेकर उक्त कारनामे को अंजाम दिया।
हालात को बदतर बनाने के लिए, फंड सुरक्षित नहीं थे। 'वे लगभग हमेशा के लिए चले गए हैं, लेकिन अभी भी उम्मीद है,' वह जोड़ा. जैसा कि कहा गया है, ग्नोसिस के संस्थापक, मार्टिन कोप्पेलमैन ने अराजकता के बीच कुछ निश्चितता लाने के लिए ट्वीट किया। कोप्पेलमैन ने जोर देकर कहा,
कोई वादा नहीं कर सकते, और पहले हमें वास्तव में समझना चाहिए कि क्या हुआ था। लेकिन मैं आम तौर पर ग्नोसिसडीएओ प्रस्ताव का समर्थन करूंगा जो उपयोगकर्ताओं को धन खोने से रोकने की कोशिश करेगा, उदाहरण के लिए धन उधार लेना/धन निवेश करना @Agave_lending
— मार्टिन कोप्पेलमैन ?? (@koeppelmann) मार्च २०,२०२१
कुछ और शोध के बाद, हमलावर ने कथित तौर पर इस अनुबंध को 3 कार्यों के साथ तैनात किया; ब्लॉक 21120283 और 21120284 में, हैकर ने प्रभावित प्रोटोकॉल, एगेव के साथ सीधे बातचीत करने के लिए अनुबंध का उपयोग किया। एगेव पर स्मार्ट अनुबंध मूलतः एवे के समान ही था, जिसने $18.4B सुरक्षित किया था।
चूँकि इसमें किसी शोषण की सूचना नहीं थी Aave, एगेव को कैसे सूखाया जा सकता है? खैर, यहाँ एक है सारांश कैसे इसका इस्तेमाल "अनजाने में" असुरक्षित तरीके से किया गया।
वेथ अनुबंध पहली बार तैनात किया गया था जब किसी ने वेथ को जीसी में स्थानांतरित किया था। हर बार जब आप पुल पर एक नया टोकन लाते हैं, तो इसके लिए एक नया टोकन अनुबंध बनाया जाता है।
कॉलआफ्टरट्रांसफर फ़ंक्शन आपको सीधे ब्रिज पर टोकन भेजने और उन्हें हमेशा के लिए खोने से रोकने में मदद करता है pic.twitter.com/ZiAZAcTtSI
- शेगेन (@shegenerates) मार्च २०,२०२१
उक्त हैकर एगेव में उनकी संपार्श्विक राशि से अधिक उधार लेने में सक्षम था। इस प्रकार, सभी उधार योग्य संपत्तियों को लेकर चला गया।
उधार ली गई संपत्तियों में 2,728.9 WETH, 243,423 USDC, 24,563 LINK, 16.76 WBTC, 8,400 GNO और 347,787 WXDAI शामिल हैं। कुल मिलाकर, हैकर ने लगभग 11 मिलियन डॉलर कमाए।
बहरहाल, शेगेन ने हमले को रोकने में विफल रहने के लिए एगेव डेवलपर्स को दोषी नहीं ठहराया। उन्होंने कहा, डेवलपर्स ने एक सुरक्षित और सुरक्षित AAVE-आधारित कोड चलाया। हालांकि प्रयुक्त असुरक्षित टोकन के साथ, असुरक्षित तरीके से।
उन्होंने निष्कर्ष निकाला, "जीसी पर सभी डेफी प्रोटोकॉल को मौजूदा ब्रिज किए गए टोकन को नए टोकन से बदलना चाहिए।"
ब्लॉकचेन सुरक्षा शोधकर्ता मुदित गुप्ता इस बात को दोहराया शोषण के पीछे एक समान कारण।
एगेव और हंड्रेड फाइनेंस का आज ग्नोसिस चेन (पूर्व में xDAI) पर शोषण किया गया था।
हैक का मूल कारण यह है कि ग्नोसिस पर आधिकारिक ब्रिज किए गए टोकन गैर-मानक हैं और इसमें एक हुक होता है जो प्रत्येक हस्तांतरण पर टोकन रिसीवर को कॉल करता है। यह पुनर्वित्त हमलों को सक्षम बनाता है। pic.twitter.com/8MU8Pi9RQT
- मुदित गुप्ता (@Mudit__Gupta) मार्च २०,२०२१
स्रोत: https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/