9 серпня фірма з безпеки блокчейнів PeckShield виявила нові вразливості, націлені на проекти децентралізованого фінансування (DeFi). Згідно з даними фірми, Earning Farm протоколу Aave було скомпрометовано атакою повторного входу, що призвело до крадіжки ефіру (ETH) на суму щонайменше 287 000 доларів США..
#PeckShieldAlert ~$287K #Ethereum pic.twitter.com/TOQ9oSzcGN
— PeckShield Inc. (@peckshield) August 9, 2023
Атака повторного входу схожа на те, що банкомат обманом змушує видавати вам гроші кілька разів, перш ніж він зрозуміє, що у вас їх не залишилося. Це відбувається шляхом проникнення та виходу з запиту на отримання грошей, змушуючи систему надавати зловмисникові більше коштів, ніж у нього є. Подібним чином у комп’ютерах зловмисники використовують цей трюк, щоб отримати більше доступу або ресурсів, ніж вони повинні, викликаючи функції, які взаємодіють із контрактами, неодноразово до завершення першого виклику функції.
Незрозуміло, чи пов’язана атака з експлойтами в пулах Curve Finance. Стабільні пули протоколу DeFi також зазнали атаки повторного входу 30 липня, внаслідок чого було витрачено понад 61 мільйон доларів. Злом Curve був активований через уразливість, що впливає на три версії мови програмування Vyper, загальної контрактної мови, яка широко використовується розробниками протоколів DeFi.
За темою: експлойт Curve-Vyper: вся історія
Earning Farm розроблено як зручний протокол для власників ефіру, біткойнів (wBTC) і монет USD (USDC). Як зазначено на її веб-сайті, охоронна фірма Slowmist перевірила свої блокчейн-контракти.
Це не перша атака на протокол. У жовтні 2022 року компанія Earning Farm зазнала двох зловмисних хакерів на EFLeverVault через атаки флеш-позики, у результаті чого з протоколу було вичерпано 750 ефірів. Під час атак на флеш-позику хакер позичає велику суму криптовалюти за одну транзакцію, маніпулює її вартістю за допомогою різних транзакцій, а потім повертає позику — все в межах однієї транзакції. Ці атаки використовують неузгодженість цін і тимчасові дисбаланси в системі для отримання прибутку.
