Multichain utlånsprotokoll Hundred Finance har sett et alvorlig sikkerhetsbrudd på Ethereum Layer 2 blockchain Optimism. Basert på gå online Twitter, tapet kvantum til $7.4 millioner.
Hundre midler annonsert utnyttelsen 15. april, som nevnte at den hadde kontaktet hackeren og jobbet med en rekke sikkerhetsgrupper om hendelsen. Selv om loggen ikke avslørte hvordan overfallet ble utført, bestemte blockchain-sikkerhetsbyrået Certik at det var et flash-lånsangrep:
#CertiKSkynetAlert @HundredFinanceAngriperen av manipulerte den alternative avgiften mellom ERC-20-tokens og H-tokens, noe som tillot ham å ta ut ekstra tokens enn han først satte inn. Estimert tap fra dette angrepet er rundt 7.4 millioner dollar.
Hold deg våken! https://t.co/1hxAnFoNjj
— CertiKAlert (@CertiKAlert) April 15, 2023
Flash-bolånsangrep skjer når en hacker låner en stor mengde kontanter i form av et flash-lån (en slags usikret boliglån) fra en utlånsprotokoll. Hackeren kombinerer det deretter med forskjellige metoder for å styre verdien av en eiendel på en desentralisert finansplattform (DeFi).
I Hundreds tilfelle manipulerte angriperen den alternative avgiften mellom ERC-20-tokens og hTOKENS, og tillot dem å ta ut ekstra tokens enn opprinnelig satt inn, i tråd med Certik. Blockchain-sikkerhetsbyrået fortsatte:
"Den alternative avgiftsmetoden ble manipulert av nåværende verdi. Penger er mengden WBTC som hBTC-kontrakten har. Angriperen rigget det til ved å donere gigantiske mengder WBTC til hToken-kontrakten for å få den alternative avgiften til å øke.»
Certik sier at gigantlån er tatt opp under den manipulerte alternative avgiften. Hundred Finance gjør klar en obduksjonsrapport om hendelsen.
Dette angrepet kommer nesten 12 måneder etter at Hundred konfronterte en annen utnyttelse i Gnosis-kjeden. For øyeblikket trakk hackeren all likviditet fra protokollen ved et angrep på nytt. Over 6 millioner dollar ble feilplassert. I den samme utnyttelsen stjal hackeren i tillegg midler fra Agave-protokollen.
Siden siste år har mange kriminelle brukt flash-kredittscore-angrep for å angripe DeFi-protokoller. De siste tilfellene omfavner angrep på Euler Finance ($196 millioner) og Mango Markets ($46 millioner). Mens Eulers hack returnerte mange av pengene, ble Mangos tyv arrestert av amerikanske myndigheter.
Journal: Burde kryptooppgaver noen gang håndtere hackere? Mest sannsynlig
