Протокол Aave’s Earning Farm став жертвою атаки повторного входу

Згідно зі звітом компанії PeckShield, яка спеціалізується на безпеці блокчейну, 9 серпня було виявлено нові вразливості, спрямовані на DeFi-проекти. Зокрема, Aave’s Earning Farm зазнав атаки повторного входу, що призвело до викрадення ETH на суму щонайменше $287 000.

Атака повторного входу подібна до схеми обману банкомату, який видає гроші кілька разів, перш ніж зрозуміє, що кошти закінчилися. В цьому випадку це досягається шляхом зміни запитів на отримання коштів, обманюючи систему, змушуючи її виділяти більше грошей, ніж доступно. Аналогічним чином, зловмисники використовують цей метод у комп’ютерах для отримання ширшого доступу або більшої кількості ресурсів, ніж передбачено, викликаючи функції, що взаємодіють з контрактами, декілька разів перед завершенням першого виклику функції.

Наразі невідомо, чи має ця атака відношення до попередніх інцидентів з пулами Curve Finance. Пули протоколу DeFi також були атаковані 30 липня, що призвело до втрати понад $61 млн. Вразливість в системі Curve стала можливою через проблему, що стосується трьох версій Vyper, популярної мови для розробки смартконтрактів.

Aave’s Earning Farm розроблений як зручний протокол для обгортання ETH у біткоїн (wBTC) і монети USD Coin. За даними проекту, компанія Slowmist провела аудит його блокчейн-контрактів.

Це не перший випадок атаки на цей протокол. У жовтні 2022 року Earning Farm зазнав дві хакерських атаки на свій EFLeverVault за допомогою флеш-кредитів, в результаті яких було виведено 750 ETH. Атаки флеш-кредитування базуються на позиках великих сум криптовалюти в одній транзакції, маніпулюючи її вартістю через декілька транзакцій, і потім повертаючи позику – все це в межах однієї транзакції. Такі атаки використовують цінові розбіжності та тимчасові дисбаланси в системі для отримання прибутку.