Am Wochenende wurde das DeFi-Protokoll Hundred Finance durch einen Hack um mehr als 7 Millionen US-Dollar geschädigt. Im vergangenen Jahr hatte das Projekt ebenfalls einen Angriff ähnlichen Ausmaßes überstehen müssen.
Hundred Finance erlitt einen Hack auf Optimism
Das Multichannel-Kredit- und Anleiheprotokoll Hundred Finance (HND), erlitt am Wochenende einen Hack, der einen Verlust von rund 7,4 Millionen US-Dollar verursachte.
Dieser Hack fand auf Layer 2 Optimism (OP) statt, und obwohl die Teams des Protokolls dazu aufriefen, „nicht darüber zu sprechen, wie der Angriff ausgeführt wurde“, da sie eine Analyse vorbereiteten, hat sich die Blockchain-Sicherheitsfirma CertiK bereits mit dem Thema befasst.
Es wäre also auf eine Manipulation der Formel für den Wechselkurs zwischen WBTC und hBTC zurückzuführen, wobei hToken der Nachweis für die erhaltene Einzahlung sind, wenn man Liquidität auf dem Protokoll bereitstellt. Durch das künstliche Hinzufügen großer Mengen von WBTC zum Smart Contract ändert sich der Preis, und das ermöglichte es dem Angreifer, mehr abzuheben, als er berechtigt war, wie CertiK in seinem Thread erklärte:
CertiKSkynetAlert @HundredFinance’s attacker manipulated the exchange rate between ERC-20 tokens and htokens which allowed them to withdraw more tokens than they had originally deposited. Der geschätzte Verlust durch diesen Angriff beträgt rund 7,4 Millionen Dollar.
Bleiben Sie wachsam! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) April 15, 2023
Darüber hinaus forderte Hundred Finance die von dem Hack betroffenen Personen mit Wohnsitz in den USA, insbesondere im Bundesstaat New York, auf, Kontakt aufzunehmen. Während jedoch über eine mögliche Entschädigung spekuliert werden kann, wurden die Gründe für diese Aufforderung nicht öffentlich kommuniziert:
If anyone affected by the hack is from USA, specifically from NY, please reach out, dm this account or one of the team members on Discord. Vielen Dank!
– Hundred Finance (@HundredFinance) April 16, 2023
Der zweite Angriff in 13 Monaten
Es ist nicht das erste Mal, dass Hundred Finance Ziel eines Hacks wurde. Im März 2022 wurde das Protokoll erneut angegriffen, und zwar im Wert von 2.363 ETH, was damals 6,2 Millionen US-Dollar entsprach. Diese Episode hatte sich in der Gnosis Chain (xDAI) ereignet.
Außerdem scheint die heute diskutierte Schwachstelle auch in anderen Protokollen vorzukommen, da der Code von Hundred Finance in Wirklichkeit ein Fork von Coumpound V2 ist. Daher lud das Projektteam ähnliche Forks dazu ein, mit ihnen in Kontakt zu treten, um sich über die Schwachstelle auszutauschen:
Wenn Sie ein Compound V2-Fork sind und wir oder unsere Leute noch nicht mit Ihnen in Kontakt stehen, melden Sie sich bitte, damit wir die Informationen über den Hack teilen können, da es sich um eine allgemeine Schwachstelle im Code handelt und nicht spezifisch für die Hundertfach-Verbreitung ist.
Thank you!
– Hundred Finance (@HundredFinance) April 16, 2023
Parallel dazu rutschte der HND, das Token von Hundred Finance, völlig ab. Während er vor den Ereignissen bei 0,043 US-Dollar gehandelt wurde, ist es jetzt mit 0,021 US-Dollar bei Redaktionsschluss nur noch die Hälfte.
Auch wenn die fraglichen Beträge im Vergleich zu anderen Angriffen auf das Ökosystem der dezentralen Finanzwirtschaft (DeFi) relativ gering erscheinen mögen, ist zu betonen, dass das Protokoll lediglich Einlagen in Höhe von 10,5 Millionen US-Dollar beansprucht. Je nachdem, wie sich die Ereignisse in Zukunft entwickeln, könnte es für das Projekt also schwierig werden, sich davon zu erholen.
