Bukan hanya satu, tetapi dua protokol keuangan terdesentralisasi (DeFi) – Agave dan Hundred Finance – dieksploitasi dalam kasus baru serangan “masuk kembali”.
Peretas dilaporkan berhasil menyedot dana senilai $11 juta dalam Wrapped ETH, Wrapped BTC, Chainlink , USDC, Gnosis, dan XDAI Terbungkus pada kedua protokol DeFi pada rantai Gnosis menggunakan exploit pinjaman flash.
The Hacks
Mengukur data yang tersedia di Tenderly untuk kedua pelanggaran, ditemukan bahwa peretas mengeksploitasi bug masuk kembali di dua protokol .
Untuk yang belum tahu, “masuk kembali” adalah kerentanan dalam bahasa pemrograman Soliditas yang memungkinkan entitas jahat untuk menipu kontrak pintar protokol agar melakukan panggilan eksternal ke kontrak yang tidak tepercaya. Setelah penyerang mendapatkan kendali atas kontrak yang tidak tepercaya, mereka dapat melakukan panggilan rekursif ke fungsi asli untuk menguras dananya.
Peneliti blockchain dan keamanan, Mudit Gupta, mengungkapkan bahwa token resmi yang dijembatani pada Gnosis adalah penyebab utama dan menyatakan bahwa mereka adalah “ non-standar dan memiliki pengait yang memanggil penerima token pada setiap transfer.” Dia menambahkan bahwa inilah yang memungkinkan serangan re-entrancy.
Agave adalah cabang dari platform pinjaman DeFi Aave, sedangkan proyek pinjaman multi-rantai, Hundred Finance, adalah cabang dari Compound. Gupta juga mengklaim bahwa Compound tidak mengikuti pola checks-effect-interactions yang direkomendasikan meskipun mengacu pada itu.
Serangan re-entrancy menjadi lebih mengejutkan karena “kode mengeksekusi interaksi sebelum menerapkan efek.” Di sisi lain, Aave mencoba mengikuti pola interaksi-efek-cek yang disebutkan di atas. Namun, ada jalur melalui likuidasi yang digunakan penyerang untuk “melanggar pola” dalam serangan baru-baru ini. Dia melanjutkan untuk menambahkan,
“Agave dan ratusan tim protokol mengacaukan dengan mencantumkan token yang dapat masuk kembali. Aave dan tata kelola gabungan secara aktif memeriksa masuk kembali sebelum mendaftarkan token di mainnet untuk menghindari serangan serupa.”
Platform pinjaman DeFi populer Cream Finance, yang berbagi basis kode yang mirip dengan Compound, juga dieksploitasi dalam serangan masuk kembali pinjaman kilat senilai $18,8 juta pada bulan Agustus tahun lalu.
Dana Tidak SAFU
Menurut pengembang di protokol DeFi DanceFloor, “Shegan,” dana tersebut tidak aman. Namun, Martin Köppelmann, pendiri Gnosis, mengatakan dia akan mendukung tindakan dari DAO. Tim di belakang Hundred Finance dan Agave saat ini sedang menyelidiki eksploitasi dan telah menghentikan sementara kontrak.
Artikel ini disadur dari cryptopotato.com sebagai kliping berita saja. Trading dan Investasi Crypto adalah hal yang beresiko, silakan baca himbauan BAPPEBTI, OJK, Kementrian Keuangan dan Bank Indonesia. Kami bukan pakar keuangan, pakar blockchain, ataupun pakar trading. Kerugian dan kealpaan karena penyalahgunaan artikel ini, adalah tanggungjawab anda sendiri.