Das Multichain-Kreditprotokoll Hundred Finance hat einen schwerwiegenden Sicherheitsverstoß auf der Ethereum Layer 2 Blockchain Optimism festgestellt. Laut Twitter belaufen sich die Verluste auf 7.4 Millionen US-Dollar.
Hundert Fonds angekündigt der Exploit vom 15. April, der erwähnte, dass er den Hacker kontaktiert hatte und mit zahlreichen Sicherheitsgruppen an dem Vorfall arbeitete. Obwohl das Protokoll nicht enthüllte, wie der Angriff durchgeführt wurde, entschied die Blockchain-Sicherheitsagentur Certik, dass es sich um einen Flash-Hypothekenangriff handelte:
#CertiKSkynetAlert @HundredFinanceDer Angreifer manipulierte die alternative Gebühr zwischen ERC-20-Token und H-Token, wodurch er mehr Token abheben konnte, als er ursprünglich eingezahlt hatte. Die geschätzten Verluste durch diesen Angriff betragen rund 7.4 Millionen US-Dollar.
Aufmerksam halten! https://t.co/1hxAnFoNjj
— CertiK-Alarm (@CertiKAlert) 15. April 2023
Flash-Hypothekenangriffe passieren, wenn ein Hacker eine große Menge Bargeld über eine Flash-Hypothek (eine Art ungesicherte Hypothek) aus einem Kreditprotokoll leiht. Der Hacker kombiniert es dann mit verschiedenen Methoden, um den Wert eines Vermögenswertes auf einer dezentralen Finanzplattform (DeFi) zu steuern.
Im Fall von Hundred manipulierte der Angreifer die alternative Gebühr zwischen ERC-20-Token und hTOKENS, sodass er laut Certik zusätzliche Token abheben konnte, als ursprünglich eingezahlt wurden. Die Blockchain-Sicherheitsbehörde fuhr fort:
„Die alternative Gebührenmethode wurde durch den aktuellen Wert manipuliert. Geld ist die Menge an WBTC, die der hBTC-Vertrag hat. Der Angreifer manipulierte es, indem er riesige Mengen an WBTC an den hToken-Vertrag spendete, um die alternative Gebühr zu erhöhen.“
Certik sagt, dass unter der manipulierten alternativen Gebühr riesige Kredite aufgenommen wurden. Hundred Finance bereitet einen Post-Mortem-Bericht über den Vorfall vor.
Dieser Angriff erfolgt fast 12 Monate, nachdem Hundred mit einem anderen Exploit innerhalb der Gnosis-Kette konfrontiert wurde. Im Moment entzog der Hacker dem Protokoll durch einen Re-Entry-Angriff jegliche Liquidität. Über 6 Millionen Dollar wurden verlegt. Beim identischen Exploit stahl der Hacker zusätzlich Gelder aus dem Agave-Protokoll.
Seit letztem Jahr haben viele Kriminelle Flash-Credit-Score-Angriffe eingesetzt, um DeFi-Protokolle anzugreifen. Die jüngsten Fälle umfassen Angriffe auf Euler Finance (196 Millionen US-Dollar) und Mango Markets (46 Millionen US-Dollar). Während Eulers Hack einen Großteil des Geldes zurückbrachte, wurde Mangos Dieb von den US-Behörden festgenommen.
Journal: Sollten Krypto-Aufgaben jemals mit Hackern zu tun haben? Höchstwahrscheinlich