2022 年 3 月 16 日，Gnosis 链上的借贷类协议 Hundred Finance 与 Agave 均遭遇了闪电贷袭击，包括 AAVE 的分支 Agave 和 Compound 的分支 Hundred Finance 。损失超1100万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、        事件分析

Hundred Finance 被攻击tx：

0x534b84f657883ddc1b66a314e8b392feb35024afdec61dfe8e7c510cfac1a098

攻击合约：0xdbf225e3d626ec31f502d435b0f72d82b08e1bdd

攻击地址：0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

攻击后跨链：

https://etherscan.io/txs?a=0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

Agave 被攻击tx：

0xa262141abcf7c127b88b4042aee8bf601f4f3372c9471dbd75cb54e76524f18e

攻击合约0xF98169301B06e906AF7f9b719204AA10D1F160d6

攻击地址:   0x0a16a85be44627c10cee75db06b169c7bc76de2c

攻击后跨链：

https://etherscan.io/txs?a=0x0a16a85be44627c10cee75db06b169c7bc76de2c

以Hundred Finance Agave 的攻击交易进行分析如下：

• 从SushiSwap上通过闪电兑借出USDC和wXDAI

• 抵押 1,200,000 个 USDC，并借贷 59,999,789.075 个 hUSDC

• 继续借贷出其他代币，这里明显存在超额借贷问题。

• 重复相同攻击方式多次，继续超额借贷。

• 归还闪电贷，完成攻击。

可以看出，本次攻击的根本原因是因为合约存在超额借贷漏洞，通过分析具体的合约我们发现合约中存在重入问题，导致攻击者可以完成攻击并进行超额借贷。

问题合约地址：

https://blockscout.com/xdai/mainnet/address/0xf8D1677c8a0c961938bf2f9aDc3F3CFDA759A9d9/contracts

二、安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

更多区块链安全咨询与分析，点击下方链接查看

D查查|链上风险核查 https://m.chainaegis.com/  

Telegram: https://t.me/sharkteamorg

Twitter：@sharkteamorg