闪电贷&重入攻击:Hundred与Agave被黑事件分析
2022-3-18 09:44:21 Author: www.aqniu.com(查看原文) 阅读量:28 收藏

闪电贷&重入攻击:Hundred与Agave被黑事件分析

2022 年 3 月 16 日,Gnosis 链上的借贷类协议 Hundred Finance 与 Agave 均遭遇了闪电贷袭击,包括 AAVE 的分支 Agave 和 Compound 的分支 Hundred Finance 。损失超1100万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

Hundred Finance 被攻击tx:

0x534b84f657883ddc1b66a314e8b392feb35024afdec61dfe8e7c510cfac1a098

攻击合约:0xdbf225e3d626ec31f502d435b0f72d82b08e1bdd

攻击地址:0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

攻击后跨链:

https://etherscan.io/txs?a=0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

Agave 被攻击tx:

0xa262141abcf7c127b88b4042aee8bf601f4f3372c9471dbd75cb54e76524f18e

攻击合约0xF98169301B06e906AF7f9b719204AA10D1F160d6

攻击地址:   0x0a16a85be44627c10cee75db06b169c7bc76de2c

攻击后跨链:

https://etherscan.io/txs?a=0x0a16a85be44627c10cee75db06b169c7bc76de2c

以Hundred Finance Agave 的攻击交易进行分析如下:

  • 从SushiSwap上通过闪电兑借出USDC和wXDAI
  • 抵押 1,200,000 个 USDC,并借贷 59,999,789.075 个 hUSDC
  • 继续借贷出其他代币,这里明显存在超额借贷问题。
  • 重复相同攻击方式多次,继续超额借贷。
  • 归还闪电贷,完成攻击。

可以看出,本次攻击的根本原因是因为合约存在超额借贷漏洞,通过分析具体的合约我们发现合约中存在重入问题,导致攻击者可以完成攻击并进行超额借贷。

问题合约地址:

https://blockscout.com/xdai/mainnet/address/0xf8D1677c8a0c961938bf2f9aDc3F3CFDA759A9d9/contracts

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

更多区块链安全咨询与分析,点击下方链接查看

D查查|链上风险核查 https://m.chainaegis.com/  

Telegram: https://t.me/sharkteamorg

Twitter:@sharkteamorg


文章来源: https://www.aqniu.com/industry/81783.html
如有侵权请联系:admin#unsafe.sh