Многоцепочечный кредитный протокол Hundred Finance сообщил в субботу, что потерял около $7 млн после взлома на блокчейне Ethereum layer-2 Optimism.
Оцениваемый текущий убыток составляет ~7 млн долларов США.
Мы снова надеемся, что хакер свяжется с нами, и мы сможем найти совместное решение для урегулирования этого вопроса.
Спасибо всем за поддержку и помощь в это трудное время. ❤️ https://t.co/wLGAl4AAGA
— Hundred Finance (@HundredFinance) April 15, 2023
Команда протокола заявила, что готовит анализ того, как произошла атака, и посоветовала людям не строить догадок до тех пор, пока не появится ясность в официальном заявлении.
Кроме того, Hundred Finance заявила, что пытается наладить диалог с хакером в надежде вернуть часть или все украденные средства. В отдельном твите Hundred Finance сообщила, что она также разговаривает с различными службами безопасности об инциденте.
Мы не советуем строить догадки о том, как была осуществлена атака, команда готовит вскрытие.
Основное внимание уделяется установлению связи с хакером, достижению соглашения.
Параллельно мы собираем всю доступную информацию, чтобы иметь ее под рукой для возможных дальнейших действий.
Спасибо
— Hundred Finance (@HundredFinance) Апрель 16, 2023
В чате на discord-сервере Hundred Finance псевдонимный член команды Hundred Finance по имени acidbird сказал, что «хакер пока молчит», но команда работает «над всеми возможными сценариями».
Кроме того, acidbird сказал, что члены команды Hundred Finance «пострадали финансово» от атаки, в том числе один человек, у которого все его стабильные монеты были на протоколе.
В воскресенье протокол попросил пользователей, пострадавших от атаки и находящихся в США, в частности в штате Нью-Йорк, связаться с Hundred Finance через Twitter или приложение для обмена сообщениями Discord.
Hundred Finance впервые предупредила людей в Twitter об атаке в субботу, когда стоимость токена Hundred Finance, HND, составляла около $0,0416, по данным CoinGecko. С тех пор она упала примерно на 46% до $0,0212.
Похоже, что Hundred была взломана на Optimism Мы сообщим, когда появится больше информации.
— Hundred Finance (@HundredFinance) Апрель 15, 2023
Компания CertiK, специализирующаяся на безопасности блокчейна, рассказала об атаке в Twitter, объяснив, что хакеру удалось уйти с цифровыми активами на сумму 7,4 миллиона долларов после манипулирования курсом обмена между Ethereum ERC-20 и hTOKENS.
На сайте Hundred Finance hTOKENS описываются как «процентные, токенизированные представления пользовательских вкладов», стоимость которых может колебаться в зависимости от действий других заемщиков.
В атаке также участвовал обернутый биткоин — токен на основе Ethereum, который поддерживается биткоином в соотношении 1:1.
По словам CertiK, злоумышленнику удалось вывести больше токенов, чем он внес на счет Hundred Finance. Сначала злоумышленник пожертвовал большое количество обернутых биткойнов смарт-контракту Hundred Finance, который определял обменный курс между обернутыми биткойнами и Hundred Finance Wrapped Bitcoin (hwBTC).
Это взвинчивало обменный курс, после чего злоумышленник брал крупный кредит, а затем мог получить пожертвованную сумму обратно, выкупив относительно небольшое количество завернутых биткоинов Hundred Finance.
CertiKSkynetAlert @HundredFinance Атакующий манипулировал обменным курсом между токенами ERC-20 и htokens, что позволило ему вывести больше токенов, чем он первоначально вложил. Предполагаемый ущерб от этой атаки составляет около $7,4 млн.
Будьте бдительны! https://t.co/1hxAnFoNjj
— CertiK Alert (@CertiKAlert) Апрель 15, 2023
По данным компании Numen Cyber Technology, специализирующейся на безопасности Web-3, убытки, понесенные Hundred Finance, включают более 1 000 Ethereum, около 1,2 млн. стабильной валюты USDC, около 1,1 млн. стабильной валюты Tethern и почти 843 000 стабильной валюты DAI, среди прочих токенов.
Общий убыток:
0,058 $WBTC
20,854 $SNX
1,265,978 $USDC
842,788 $DAI
1 113 430 $USDT
865,142 $sUSD
457,286 $FRAX
1,030 $ETH— NumenAlert Ⓝ (@NumenAlert) Апрель 16, 2023
Взлом, которому подверглась Hundred Finance на Optimism, произошел чуть более года спустя после взлома протокола на Gnosis chain, блокчейн-проекте, который работает поверх сети Ethereum. Этот инцидент заставил Hundred Finance временно приостановить работу своих рынков на всех цепочках.
К сожалению, Hundred и Agave сегодня подверглись эксплуатации на цепочке Gnosis. Команда Gnosis в курсе, расследование продолжается.
Все рынки Hundred на всех цепочках пока приостановлены.
Вот две транзакции:
Сотня https://t.co/mdtViohijn
Агава https://t.co/RKB5MVx0O4— Hundred Finance (@HundredFinance) 15 марта 2022
