Tento víkend byl hacknut protokol DeFi Hundred Finance za více než 7 milionů dolarů. V loňském roce projekt rovněž utrpěl podobný útok
Hundred Finance utrpěl hack na Optimism
Multiřetězcový protokol pro půjčování a výpůjčky Hundred Finance (HND), utrpěl tento víkend hackerský útok, jehož výsledkem byla ztráta přibližně 7,4 milionu dolarů.
Hack se odehrál na vrstvě 2 Optimism (OP), a přestože týmy protokolu označily „ne o tom, jak byl útok proveden“, protože připravovaly analýzu, bezpečnostní blockchainová firma CertiK se již záležitostí zabývala.
Důvodem by mohla být manipulace s kurzovním vzorcem mezi WBTC a hBTC, přičemž hTokeny jsou dokladem o vkladu přijatém při poskytování likvidity na protokolu. Umělým přidáním velkého množství WBTC do chytrého kontraktu se cena změnila, a to útočníkovi umožnilo vybrat více, než na kolik měl nárok, jak CertiK vysvětlil ve svém vlákně:
CertiKSkynetAlert @HundredFinance útočník manipuloval s kurzem mezi tokeny ERC-20 a htokeny, což mu umožnilo vybrat více tokenů, než původně vložil. Odhadované ztráty tohoto útoku činí přibližně 7,4 milionu dolarů.
Zůstaňte ostražití! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) 15. dubna 2023
Společnost Hundred Finance navíc vyzvala ty, kterých se hackerský útok týká a kteří mají bydliště ve Spojených státech, zejména ve státě New York, aby se ozvali. Ačkoli se však spekuluje o tom, že by mohlo dojít k odškodnění, důvody této žádosti nebyly zveřejněny:
Pokud je někdo, koho se hack dotkl, z USA, konkrétně z New Yorku, ozvěte se, prosím, na dm tohoto účtu nebo některému z členů týmu na Discordu. Děkujeme!
– Hundred Finance (@HundredFinance) April 16, 2023
Druhý útok za 13 měsíců
Není to poprvé, co byla společnost Hundred Finance napadena hackery. V březnu 2022 byl protokol napaden za 2 363 ETH, což v té době představovalo 6,2 milionu dolarů. Tato epizoda se odehrála na řetězci Gnosis (xDAI).
Navíc se zdá, že chyba, o které dnes mluvíme, je společná i pro jiné protokoly, protože kód Hundred Finance je ve skutečnosti forkem Coumpound V2. Tým projektu proto vyzval podobné forky, aby se s nimi spojily a diskutovaly o zranitelnosti:
Pokud jste forkem Compound V2 a my nebo naši přátelé s vámi ještě nejsme v kontaktu, ozvěte se nám, abychom se podělili o informace o hackerském útoku, protože se jedná o obecnou chybu v kódu a ne o specifickou chybu nasazení Hundred.
Děkujeme
– Hundred Finance (@HundredFinance) 16. dubna 2023
Současně se zcela rozpadl HND, žeton Sto financí. Zatímco před událostmi se obchodoval za 0,043 dolaru, v době psaní tohoto článku je jeho cena poloviční a činí 0,021 dolaru.
Ačkoli se může zdát, že jde o relativně malé částky ve srovnání s jinými útoky v ekosystému decentralizovaných financí (DeFi), stojí za zmínku, že protokol si nárokuje pouze 10,5 milionu dolarů na vkladech. V závislosti na vývoji událostí by mohlo být pro projekt obtížné se zotavit.
