“不幸”：Agave和Hundred Finance DeFi協議被盜走1100萬美元 

Agave和Hundred Finance已經暫停運營，同時繼續對該漏洞進行調查。

一名黑客在對DeFi借貸協議應用Agave和Hundred Finance進行“重入”攻擊後，盜走了大約1100萬美元的Wrapped ETH、Wrapped BTC、Chainlink、USDC、Gnosis和Wrapped XDAI。

這次攻擊是在Deus Finance漏洞的新聞爆出後24小時內發生的，黑客從借貸合約平臺Deus Finance盜取了超過300萬美元的Dai和ETH。

根據CoinGecko的數據，Agave的代幣AGVE在攻擊發生後下跌了20%。Hundred Finances的代幣HND在宣布漏洞後下跌了3.5%，但隨後回升至24小時高點。

“Agave目前正在調查Agave Finance協議上的一個漏洞”，Agave在周二15日下午1:30 UTC發推文稱，“我們將在知道更多信息後立即向您更新”。它指出，合約已經暫停，直到情況得到解決。

Hundred Finance團隊也在推特上表示，它在Gnosis鏈上被利用，並在進行調查時暫停了其市場。

根據鏈上分析，與攻擊者相關的地址已經向一個加密貨幣混合器發送了超過2100個ETH，價值超過550萬美元，以試圖清洗被盜代幣。

Solidity开發人員和NFT流動性協議應用程序的創建者Shegen（@shegenerates）在推特上說，她在該漏洞中損失了22.5萬美元，她的調查顯示，該攻擊通過利用Gnosis Chain上的一個wETH合約功能，該功能允許攻擊者在應用程序能夠計算債務之前繼續借入加密貨幣，這將阻止進一步借入。

攻擊者利用這個漏洞，不斷地用他們發布的相同抵押品進行借貸，直到資金從協議中耗盡。

Shegen告訴Cointelegraph，雖然Agave上的智能合約與確保184億美元安全的Aave基本相同，但“每個安全研究人員都對其進行了審計，”她說，“因此，有理由認為該合約是安全的。”

Shegen表示:“我認為這次的黑客攻擊比其他更大規模的攻擊更引人注目。”他指出，盡管與其他竊取了數百萬美元的黑客相比，這次的黑客攻擊規模較小，但與Aave的相似之處意味着，“它似乎是頂級安全的，但實際上並非如此，這種信任被破壞是很痛苦的。"

“這就像你甚至不能相信“安全”的代碼。”

區塊鏈安全研究員Mudit Gupta說，Aave和Agave的區別在於，“Aave在主網上上线代幣之前會主動檢查重入性，以避免類似攻擊”。

Shegen表示，她並不責怪Agave的开發者未能防止攻擊。

“Agave被以一種不安全的方式使用，”她說，“也許开發者不應該允許帶有回調的代幣在平臺上使用，或者增加更多的可重入性保護。”

“比如說Curve，今天沒有被黑，因為它有額外的重入防護，但我其實並不責怪Luigy和Agave團隊，因為這種情況不太可能發生，而且與很多人擦肩而過。”

Shegen也沒有把責任指向Gnosis，雖然它創建了黑客利用的具有回調功能的代幣。Shegen說這個功能可以阻止用戶意外地丟失他們的加密貨幣。 

“這其實是一個很好的橋代幣的功能，在我看來，這只是一個非常不幸的、不走運的情況。”

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。