Il protocollo di prestito multichain Hundred Finance ha riscontrato una grave violazione della sicurezza sulla blockchain Optimism di Ethereum Layer 2. Secondo Twitter, le perdite ammontano a 7.4 milioni di dollari.
Cento fondi ha annunciato l'exploit del 15 aprile, in cui si menzionava di aver contattato l'hacker e di aver collaborato con numerosi gruppi di sicurezza sull'incidente. Anche se il registro non ha rivelato come è stato effettuato l'assalto, l'agenzia per la sicurezza blockchain Certik ha deciso che si trattava di un attacco ipotecario lampo:
#CertiKSkynetAlert @CentoFinanzaL'aggressore ha manipolato la commissione alternativa tra token ERC-20 e token H, che gli ha permesso di prelevare token extra rispetto a quelli inizialmente depositati. Le perdite stimate derivanti da questo attacco ammontano a circa 7.4 milioni di dollari.
Stai attento! https://t.co/1hxAnFoNjj
— Avviso CertiK (@CertiKAlert) 15 aprile 2023
Gli attacchi ai mutui flash si verificano quando un hacker prende in prestito una grande quantità di denaro tramite un mutuo flash (una sorta di mutuo non garantito) da un protocollo di prestito. L’hacker poi lo combina con diversi metodi per governare il valore di un asset su una piattaforma di finanza decentralizzata (DeFi).
Nel caso di Hundred, l'aggressore ha manipolato la tariffa alternativa tra token ERC-20 e hTOKENS, consentendo loro di ritirare token extra rispetto a quelli inizialmente depositati, secondo Certik. L’agenzia per la sicurezza blockchain ha continuato:
“Il metodo tariffario alternativo è stato manipolato dal valore attuale. Il denaro è la quantità di WBTC di cui dispone il contratto hBTC. L’aggressore ha truccato il tutto donando enormi quantità di WBTC al contratto hToken per far aumentare la tariffa alternativa.”
Certik afferma che sono stati contratti enormi prestiti con la commissione alternativa manipolata. Hundred Finance sta preparando un rapporto post mortem sull'incidente.
Questo attacco arriva quasi 12 mesi dopo che Hundred ha affrontato un altro exploit nella catena Gnosis. Al momento l’hacker ha prelevato tutta la liquidità dal protocollo con un assalto di rientro. Oltre 6 milioni di dollari sono andati fuori luogo. Nello stesso exploit l’hacker ha rubato anche fondi dal protocollo Agave.
Dall’anno scorso, molti criminali hanno utilizzato attacchi di crediti flash per attaccare i protocolli DeFi. Gli ultimi casi includono attacchi a Euler Finance (196 milioni di dollari) e Mango Markets (46 milioni di dollari). Mentre l'hacker di Eulero ha restituito gran parte del denaro, il ladro di Mango è stato arrestato dalle autorità statunitensi.
Journal: le attività crittografiche dovrebbero mai avere a che fare con gli hacker? Più probabilmente