“不幸”：Agave和Hundred Finance DeFi协议被盗走1100万美元

一名黑客在对DeFi借贷协议应用Agave和Hundred Finance进行“重入”攻击后，盗走了大约1100万美元的Wrapped ETH、Wrapped BTC、Chainlink、USDC、Gnosis和Wrapped XDAI。

这次攻击是在Deus Finance漏洞的新闻爆出后24小时内发生的，黑客从借贷合约平台Deus Finance盗取了超过300万美元的Dai和ETH。

根据CoinGecko的数据，Agave的代币AGVE在攻击发生后下跌了20%。Hundred Finances的代币HND在宣布漏洞后下跌了3.5%，但随后回升至24小时高点。

“Agave目前正在调查Agave Finance协议上的一个漏洞”，Agave在周二15日下午1:30 UTC发推文称，“我们将在知道更多信息后立即向您更新”。它指出，合约已经暂停，直到情况得到解决。

Hundred Finance团队也在推特上表示，它在Gnosis链上被利用，并在进行调查时暂停了其市场。

根据链上分析，与攻击者相关的地址已经向一个加密货币混合器发送了超过2100个ETH，价值超过550万美元，以试图清洗被盗代币。

Solidity开发人员和NFT流动性协议应用程序的创建者Shegen（@shegenerates）在推特上说，她在该漏洞中损失了22.5万美元，她的调查显示，该攻击通过利用Gnosis Chain上的一个wETH合约功能，该功能允许攻击者在应用程序能够计算债务之前继续借入加密货币，这将阻止进一步借入。

攻击者利用这个漏洞，不断地用他们发布的相同抵押品进行借贷，直到资金从协议中耗尽。

Shegen告诉Cointelegraph，虽然Agave上的智能合约与确保184亿美元安全的Aave基本相同，但“每个安全研究人员都对其进行了审计，”她说，“因此，有理由认为该合约是安全的。”

Shegen表示:“我认为这次的黑客攻击比其他更大规模的攻击更引人注目。”他指出，尽管与其他窃取了数百万美元的黑客相比，这次的黑客攻击规模较小，但与Aave的相似之处意味着，“它似乎是顶级安全的，但实际上并非如此，这种信任被破坏是很痛苦的。"

“这就像你甚至不能相信“安全”的代码。”

区块链安全研究员Mudit Gupta说，Aave和Agave的区别在于，“Aave在主网上上线代币之前会主动检查重入性，以避免类似攻击”。

Shegen表示，她并不责怪Agave的开发者未能防止攻击。

“Agave被以一种不安全的方式使用，”她说，“也许开发者不应该允许带有回调的代币在平台上使用，或者增加更多的可重入性保护。”

“比如说Curve，今天没有被黑，因为它有额外的重入防护，但我其实并不责怪Luigy和Agave团队，因为这种情况不太可能发生，而且与很多人擦肩而过。”

Shegen也没有把责任指向Gnosis，虽然它创建了黑客利用的具有回调功能的代币。Shegen说这个功能可以阻止用户意外地丢失他们的加密货币。 

“这其实是一个很好的桥代币的功能，在我看来，这只是一个非常不幸的、不走运的情况。”