Multichain uitleenprotocol Hundred Finance heeft een ernstige veiligheidsinbreuk gezien op de Ethereum Layer 2 blockchain Optimism. Op basis van de go online Twitter bedragen de verliezen $ 7.4 miljoen.
Honderd fondsen aangekondigd de exploit op 15 april, waarin stond dat het contact had opgenomen met de hacker en met tal van veiligheidsgroepen aan het incident werkte. Hoewel het logboek niet onthulde hoe de aanval werd uitgevoerd, besloot blockchain-veiligheidsbureau Certik dat het een flitshypotheekaanval was:
#CertiKSkynetAlert @HonderdFinanceDe aanvaller manipuleerde de alternatieve vergoeding tussen ERC-20-tokens en H-tokens, waardoor hij meer tokens kon opnemen dan hij aanvankelijk had gestort. De geschatte verliezen als gevolg van deze aanval bedragen ongeveer $ 7.4 miljoen.
Blijf alert! https://t.co/1hxAnFoNjj
— CertiK-waarschuwing (@CertiKAlert) 15 april 2023
Flash-hypotheekaanvallen vinden plaats wanneer een hacker een grote hoeveelheid contant geld leent door middel van een flash-hypotheek (een soort ongedekte hypotheek) van een uitleenprotocol. De hacker combineert het vervolgens met verschillende methoden om de waarde van een activum op een gedecentraliseerd financieel (DeFi) platform te bepalen.
In het geval van Hundred manipuleerde de aanvaller de alternatieve vergoeding tussen ERC-20-tokens en hTOKENS, waardoor ze meer tokens konden opnemen dan aanvankelijk waren gestort, in overeenstemming met Certik. Het blockchain-veiligheidsbureau vervolgde:
“De alternatieve vergoedingsmethode werd gemanipuleerd door de huidige waarde. Geld is de hoeveelheid WBTC die het hBTC-contract heeft. De aanvaller manipuleerde het door gigantische hoeveelheden WBTC aan het hToken-contract te doneren om de alternatieve vergoeding te laten stijgen.
Certik zegt dat er gigantische leningen zijn afgesloten onder de gemanipuleerde alternatieve vergoeding. Hundred Finance maakt een autopsierapport op over het incident.
Deze aanval komt bijna 12 maanden nadat Hundred geconfronteerd werd met een andere exploit binnen de Gnosis-keten. Op dit moment onttrok de hacker alle liquiditeit aan het protocol door middel van een re-entry assault. Meer dan $ 6 miljoen was misplaatst. Bij dezelfde exploit stal de hacker ook geld van het Agave-protocol.
Sinds vorig jaar hebben veel criminelen flash-kredietscore-aanvallen gebruikt om DeFi-protocollen aan te vallen. De laatste gevallen omvatten aanvallen op Euler Finance ($ 196 miljoen) en Mango Markets ($ 46 miljoen). Terwijl de hack van Euler veel van het geld teruggaf, werd de dief van Mango gearresteerd door de Amerikaanse autoriteiten.
Tijdschrift: Zouden cryptotaken ooit met hackers te maken moeten hebben? Hoogstwaarschijnlijk