Протокол Earning Farm от Aave подвергся атаке повторного входа
9 августа компания PeckShield, занимающаяся безопасностью блокчейна, обнаружила новые уязвимости, нацеленные на проекты децентрализованного финансирования (DeFi).
Атака с повторным входом подобна обману банкомата, который несколько раз выдает вам деньги, прежде чем он поймет, что у вас их не осталось. Это происходит путем скрытого ввода и вывода запроса на получение денег, обманывая систему, заставляя ее предоставить злоумышленнику больше средств, чем у него есть. Точно так же на компьютерах злоумышленники используют этот трюк, чтобы получить больше доступа или ресурсов, чем у них есть, путем многократного вызова функций, взаимодействующих с контрактами, до завершения первого вызова функции.
Неясно, связана ли атака с эксплойтами в пулах Curve Finance. Пулы стейблкоинов протокола DeFi также подверглись атакам повторного входа 30 июля, в результате чего было потрачено более 61 миллиона долларов. Взлом Curve был вызван уязвимостью, затрагивающей три версии языка программирования Vyper — распространенного контрактного языка, широко используемого разработчиками протоколов DeFi.
Earning Farm разработан как удобный протокол для держателей эфира, обернутых биткойнов (wBTC) и USD Coin (USDC). Как указано на ее веб-сайте, охранная фирма Slowmist провела аудит безопасности контрактов на блокчейне.
Это не первая атака на протокол. В октябре 2022 года компания Earning Farm подверглась двум злонамеренным взломам своего EFLeverVault посредством атак с использованием флэш-кредитов, в результате чего из протокола было украдено 750 ETH. В атаках с использованием флэш-кредита хакер занимает крупную сумму в криптовалюте за одну транзакцию, манипулирует ее стоимостью с помощью различных транзакций, а затем возвращает кредит — и все это в рамках одной транзакции. Эти атаки используют несоответствия цен и временные дисбалансы в системе для получения прибыли.