Този уикенд протоколът DeFi Hundred Finance беше хакнат за над 7 млн. долара. Миналата година проектът също претърпя подобна атака
Hundred Finance претърпява хакерска атака на Optimism
Многоверижният протокол за отпускане и вземане на заеми Hundred Finance (HND), претърпя хакерска атака този уикенд, в резултат на което загуби около 7,4 млн. долара.
Хакването се състоя на Layer 2 Optimism (OP) и въпреки че екипите на протокола призоваха „да не се съобщава как е била извършена атаката“, тъй като подготвят анализ, фирмата за блокчейн сигурност CertiK вече е разгледала въпроса.
Това би се дължало на манипулиране на формулата за обменния курс между WBTC и hBTC, като hTokens са доказателство за депозит, получен при предоставяне на ликвидност в протокола. Чрез изкуствено добавяне на големи количества WBTC към интелигентния договор цената се променя и това позволява на нападателя да изтегли повече, отколкото е имал право, както CertiK обясни в своята тема:
CertiKSkynetAlert @HundredFinance нападателят е манипулирал обменния курс между токените ERC-20 и htokens, което му е позволило да изтегли повече токени, отколкото е депозирал първоначално. Изчислените загуби от тази атака са около 7,4 млн. долара.
Бъдете бдителни! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) April 15, 2023
В допълнение Hundred Finance прикани засегнатите от хакерската атака, които са жители на Съединените щати, и по-специално на щата Ню Йорк, да се свържат с тях. Въпреки това, въпреки че има предположения, че може да бъде получена компенсация, причините за това искане не са оповестени публично:
Ако някой от засегнатите от хакерската атака е от САЩ, по-конкретно от Ню Йорк, моля, свържете се с него, изпратете dm на този акаунт или на някой от членовете на екипа в Discord. Благодаря ви!
– Hundred Finance (@HundredFinance) April 16, 2023
Втора атака за 13 месеца
Това не е първият случай на хакерска атака срещу Hundred Finance. През март 2022 г. протоколът е бил атакуван за 2363 ETH, или 6,2 млн. долара по това време. Този епизод се е състоял във веригата Gnosis (xDAI).
Освен това изглежда, че недостатъкът, за който говорим днес, е характерен и за други протоколи, тъй като кодът на Hundred Finance всъщност е форк на Coumpound V2. По този начин екипът на проекта покани подобни разклонения да се свържат с тях, за да обсъдят уязвимостта:
Ако сте разклонение на Compound V2 и ние или наши приятели все още не сме се свързали с вас, моля, свържете се с нас, за да споделим информацията за хака, тъй като това е общ недостатък в кода, а не специфичен за внедряването на Hundred.
Благодарим ви
– Hundred Finance (@HundredFinance) April 16, 2023
В същото време HND, символът на стоте финанси, се разпада напълно. Докато преди събитията се търгуваше за 0,043 долара, сега е наполовина по-малко – 0,021 долара към момента на писане на статията.
Макар че засегнатите суми може да изглеждат сравнително малки в сравнение с други атаки в екосистемата на децентрализираните финанси (DeFi), заслужава да се отбележи, че протоколът претендира за депозити на стойност само 10,5 млн. долара. В зависимост от развоя на събитията за проекта може да се окаже трудно да се възстанови.