Протокол Earning Farm от Aave стал объектом атаки повторного входа — PeckShield

Атака повторного входа на протокол Earning Farm от Aave - PeckShield

Компания по обеспечению безопасности блокчейна PeckShield объявила о новых уязвимостях, направленных на проекты децентрализованной финансовой сферы (DeFi) 9 августа. По данным компании, протокол Earning Farm от Aave стал жертвой атаки с повторным входом, в результате чего было похищено как минимум $287 000 в Эфириуме (ETH).

#PeckShieldAlert ~$287K #Ethereum pic.twitter.com/TOQ9oSzcGN

— PeckShield Inc. (@peckshield) 9 августа 2023 года

Атака с повторным входом подобна обману банкомата, который выдает деньги несколько раз до того, как поймет, что у вас их больше нет. Это происходит путем скрытного входа и выхода из запроса на деньги, чем обманывается система, предоставляя злоумышленнику больше средств, чем имеется в наличии. Аналогично на компьютерах злоумышленники используют этот трюк для получения большего доступа или ресурсов, вызывая функции, взаимодействующие с контрактами, несколько раз до завершения первого вызова функции.

• Сегодня в мире криптовалют Bitstamp ‘постоянно’ приостанавливает торговлю несколькими альткоинами для американских пользователей, MuesliSwap вернет деньги, потерянные из-за ‘непонимания’ скольжения, Unstoppable Domains запускает премиальное членство ‘Blue’.
• Стартап по безопасности Web3 Cube3.ai выходит из тени с инвестициями на сумму $8,2 млн.
• Cardano DEX MuesliSwap вернет пользователям средства после путаницы с проскальзыванием

Неясно, связана ли атака с эксплойтом пулов Curve Finance. Стабильные пулы протокола DeFi также стали жертвами атак с повторным входом 30 июля, в результате чего было выведено более $61 миллионов. Взлом Curve был обусловлен уязвимостью, затрагивающей три версии языка программирования Vyper, распространенного языка контрактов, широко используемого разработчиками протоколов DeFi.

См. также: Эксплойт Curve-Vyper: вся история до сих пор

Earning Farm разработан как протокол, удобный для держателей Эфира, обернутого Биткойном (wBTC) и USD Coin (USDC). Как указано на его веб-сайте, компания по обеспечению безопасности Slowmist провела аудит его контрактов блокчейна.

Это не первый раз, когда протокол подвергается атакам. В октябре 2022 года Earning Farm столкнулся с двумя злонамеренными взломами своего EFLeverVault через атаки с флеш-кредитами, в результате которых было выведено 750 Эфириума из протокола. В атаках с флеш-кредитами хакер занимает большую сумму криптовалюты в одной транзакции, манипулирует ее стоимостью через различные транзакции, а затем возвращает займ – все в рамках одной транзакции. Эти атаки используют несоответствия цен и временные дисбалансы в системе для получения прибыли.

Журнал: Риск депозита: что на самом деле делают криптобиржи с вашими деньгами?

We will continue to update BiLee; if you have any questions or suggestions, please contact us!