Multichain-udlånsprotokol Hundred Finance har set et alvorligt sikkerhedsbrud på Ethereum Layer 2 blockchain Optimism. Baseret på gå online Twitter, tabet mængde til $7.4 millioner.
Hundrede midler annoncerede udnyttelsen den 15. april, som nævnte, at den havde kontaktet hackeren og arbejdede med adskillige sikkerhedsgrupper om hændelsen. Selvom loggen ikke afslørede, hvordan overfaldet blev udført, besluttede blockchain-sikkerhedsagenturet Certik, at det var et flash-angreb:
#CertiKSkynetAlert @HundredFinanceAngriberen af manipulerede det alternative gebyr mellem ERC-20-tokens og H-tokens, hvilket gjorde det muligt for ham at trække ekstra tokens tilbage, end han oprindeligt indsatte. Estimeret tab fra dette overfald er omkring $7.4 millioner.
Vær opmærksom! https://t.co/1hxAnFoNjj
— CertiKAlert (@CertiKAlert) April 15, 2023
Flash-angreb på realkreditlån sker, når en hacker låner en stor mængde kontanter i form af et flash-lån (en slags usikret realkreditlån) fra en låneprotokol. Hackeren kombinerer det derefter med forskellige metoder til at styre værdien af et aktiv på en decentraliseret finansplatform (DeFi).
I Hundreds tilfælde manipulerede angriberen det alternative gebyr mellem ERC-20-tokens og hTOKENS, hvilket tillod dem at trække ekstra tokens ud end oprindeligt deponeret, i overensstemmelse med Certik. Blockchain-sikkerhedsagenturet fortsatte:
"Den alternative gebyrmetode blev manipuleret af nuværende værdi. Penge er mængden af WBTC, som hBTC-kontrakten har. Angriberen manipulerede det ved at donere gigantiske mængder WBTC til hToken-kontrakten for at få det alternative gebyr til at stige."
Certik siger, at gigantiske lån er blevet optaget under det manipulerede alternative gebyr. Hundred Finance er ved at udarbejde en obduktionsrapport om hændelsen.
Dette overfald kommer næsten 12 måneder efter Hundred konfronterede en anden udnyttelse i Gnosis-kæden. I øjeblikket trak hackeren al likviditet fra protokollen ved et genindtræden. Over 6 millioner dollars blev forlagt. I den samme udnyttelse stjal hackeren desuden penge fra Agave-protokollen.
Siden sidste år har masser af kriminelle brugt flash-kreditovergreb til at angribe DeFi-protokoller. De seneste tilfælde omfatter angreb på Euler Finance ($196 millioner) og Mango Markets ($46 millioner). Mens Eulers hack returnerede mange af pengene, blev Mangos tyv arresteret af de amerikanske myndigheder.
Journal: Burde kryptoopgaver nogensinde håndtere hackere? Højst sandsynlig