Flerkedjelåneprotokoll Hundred Finance har sett ett allvarligt säkerhetsbrott på Ethereum Layer 2 blockchain Optimism. Baserat på gå online Twitter, förlusterna kvantitet till $7.4 miljoner.
Hundra fonder meddelade exploateringen den 15 april, som nämnde att den hade kontaktat hackaren och arbetade med flera säkerhetsgrupper om incidenten. Även om loggen inte avslöjade hur överfallet utfördes, beslutade blockchain-säkerhetsbyrån Certik att det var en flash-inteckningsmisshandel:
#CertiKSkynetAlert @HundredFinanceAngriparen av manipulerade den alternativa avgiften mellan ERC-20-tokens och H-tokens, vilket gjorde det möjligt för honom att ta ut extra tokens än han initialt satte in. Uppskattade förluster från denna attack är runt 7.4 miljoner dollar.
Håll dig vaken! https://t.co/1hxAnFoNjj
— CertiKAlert (@CertiKAlert) 15 april 2023
Flash-bolåneangrepp inträffar när en hackare lånar en stor summa kontanter i form av en flash-inteckning (en sorts osäkrad inteckning) från ett låneprotokoll. Hackaren kombinerar det sedan med olika metoder för att styra värdet på en tillgång på en decentraliserad finansplattform (DeFi).
I Hundreds fall manipulerade angriparen den alternativa avgiften mellan ERC-20-tokens och hTOKENS, vilket tillät dem att ta ut extra tokens än vad som ursprungligen deponerades, i linje med Certik. Blockchain-säkerhetsbyrån fortsatte:
"Den alternativa avgiftsmetoden manipulerades av nuvarande värde. Pengar är mängden WBTC som hBTC-kontraktet har. Angriparen riggade det genom att donera gigantiska mängder WBTC till hToken-kontraktet för att få den alternativa avgiften att höjas.”
Certik säger att jättelån har tagits under den manipulerade alternativa avgiften. Hundred Finance förbereder en obduktionsrapport om händelsen.
Denna attack kommer nästan 12 månader efter att Hundred konfronterade en annan exploatering inom Gnosis-kedjan. För tillfället drog hackaren ut all likviditet från protokollet genom ett återinträdesangrepp. Över 6 miljoner dollar försvann. I samma utnyttjande stal hackaren dessutom pengar från Agave-protokollet.
Sedan sista året har många brottslingar använt flashangrepp för att angripa DeFi-protokoll. De senaste fallen omfattar angrepp på Euler Finance (196 miljoner USD) och Mango Markets (46 miljoner USD). Medan Eulers hack gav tillbaka många av pengarna, arresterades Mangos tjuv av amerikanska myndigheter.
Journal: Borde kryptouppgifter någonsin hantera hackare? Mest troligt
