Multichain lainausprotokolla Hundred Finance on nähnyt vakavan turvallisuusrikkomuksen Ethereum Layer 2 -lohkoketjun Optimismissa. Twitterin verkkoon siirtymisen perusteella tappiot ovat 7.4 miljoonaa dollaria.
Sata rahastoa ilmoitti 15. huhtikuuta tehty hyväksikäyttö, jossa mainittiin ottaneensa yhteyttä hakkeriin ja työskennellyt useiden turvallisuusryhmien kanssa tapauksen parissa. Vaikka loki ei paljastanut, kuinka hyökkäys tapahtui, lohkoketjun turvallisuustoimisto Certik päätti, että kyseessä oli flash-asuntolainahyökkäys:
#CertiKSkynetAlert @HundredFinanceHyökkääjä manipuloi vaihtoehtoista maksua ERC-20- ja H-merkkien välillä, mikä antoi hänelle mahdollisuuden nostaa ylimääräisiä rahakkeita kuin hän alun perin talletti. Tämän hyökkäyksen arvioidut tappiot ovat noin 7.4 miljoonaa dollaria.
Pysy hereillä! https://t.co/1hxAnFoNjj
— CertiKAlert (@CertiKAlert) Huhtikuu 15, 2023
Flash-asuntolainahyökkäykset tapahtuvat, kun hakkeri lainaa suuren määrän käteistä flash-asunnolla (eräänlainen vakuudeton asuntolaina) lainausprotokollasta. Sitten hakkeri yhdistää sen eri menetelmiin hallitakseen omaisuuden arvoa hajautetun rahoitusalustan (DeFi) avulla.
Hundredin tapauksessa hyökkääjä manipuloi vaihtoehtoista maksua ERC-20-merkkien ja hTOKENSin välillä, mikä antoi heille luvan nostaa ylimääräisiä rahakkeita kuin alun perin talletettiin Certikin mukaisesti. Lohkoketjun turvallisuusvirasto jatkoi:
"Vaihtoehtoista maksumenetelmää manipuloi nykyinen arvo. Raha on WBTC-määrä, joka hBTC-sopimuksessa on. Hyökkääjä väärensi sen lahjoittamalla valtavia määriä WBTC:tä hToken-sopimukseen saadakseen vaihtoehtoisen maksun nousemaan."
Certikin mukaan manipuloidun vaihtoehtoisen maksun alaisena on otettu jättilainoja. Hundred Finance valmistelee tapauksesta post mortem -raporttia.
Tämä hyökkäys tapahtuu lähes 12 kuukautta sen jälkeen, kun Hundred kohtasi yhden toisen hyväksikäytön Gnosis-ketjussa. Tällä hetkellä hakkeri poisti protokollasta kaiken likviditeetin re-entry-hyökkäyksellä. Yli 6 miljoonaa dollaria meni väärin. Samassa hyväksikäytössä hakkeri varasti lisäksi varoja Agave-protokollasta.
Viimeisestä vuodesta lähtien monet rikolliset ovat käyttäneet flash luottopisteiden hyökkäyksiä hyökätäkseen DeFi-protokollia vastaan. Viimeisimmät tapaukset käsittävät hyökkäykset Euler Financeen (196 miljoonaa dollaria) ja Mango Marketsiin (46 miljoonaa dollaria). Vaikka Eulerin hakkerointi palautti suuren osan käteisvaroista, Yhdysvaltain viranomaiset pidättivät Mangon varkaan.
Journal: Pitäisikö kryptotehtäviä koskaan käsitellä hakkereiden kanssa? Todennäköisimmin
