Le protocole de prêt multi-chaîne Hundred Finance a révélé samedi avoir perdu environ 7 millions de dollars après avoir été piraté sur la blockchain Ethereum layer-2 Optimism.
La perte actuelle est estimée à ~7 millions de dollars.
Une fois de plus, nous espérons que le hacker nous tendra la main et que nous pourrons trouver une solution commune pour résoudre cette affaire.
Merci à tous pour votre soutien et votre aide dans ces moments difficiles. ❤️ https://t.co/wLGAl4AAGA
– Hundred Finance (@HundredFinance) Le 15 avril 2023
L’équipe du protocole a déclaré qu’elle préparait un post-mortem sur la façon dont l’attaque s’est déroulée, et a conseillé aux gens de ne pas spéculer jusqu’à ce qu’elle fournisse des éclaircissements par le biais d’une déclaration officielle.
En outre, Hundred Finance a déclaré qu’elle essayait d’établir un dialogue avec le pirate dans l’espoir de récupérer une partie ou la totalité des fonds volés. Dans un autre tweet, Hundred Finance a indiqué qu’elle s’entretenait également avec différentes équipes de sécurité au sujet de l’incident.
Nous conseillons de ne pas spéculer sur la façon dont l’attaque a été exécutée, l’équipe prépare un post mortem.
L’objectif principal est d’établir un contact avec le hacker et de parvenir à un accord.
En parallèle, nous rassemblons toutes les informations disponibles afin de les avoir à portée de main pour d’éventuelles étapes ultérieures.
Merci
– Hundred Finance (@HundredFinance) Le 16 avril 2023
Dans un salon de discussion sur le serveur discord de Hundred Finance, un membre pseudonyme de l’équipe de Hundred Finance nommé acidbird a déclaré que le « hacker ne parle pas encore » mais que l’équipe travaille « sur tous les scénarios possibles ».
En outre, acidbird a déclaré que des membres de l’équipe de Hundred Finance ont été « touchés financièrement » par l’attaque, y compris une personne qui avait tous ses stablecoins sur le protocole.
Dimanche, le protocole a demandé aux utilisateurs touchés par l’attaque et basés aux États-Unis, plus précisément dans l’État de New York, de contacter Hundred Finance sur Twitter ou sur l’application de messagerie Discord.
Hundred Finance a d’abord averti les gens sur Twitter de l’attaque samedi, lorsque la valeur du jeton HND du protocole était d’environ 0,0416 $, selon CoinGecko. Depuis, il a chuté d’environ 46 % pour atteindre 0,0212 $.
Il semble que Hundred ait été piraté sur Optimism Nous vous tiendrons au courant dès que nous aurons plus d’informations.
– Hundred Finance (@HundredFinance) Le 15 avril 2023
La société de sécurité blockchain CertiK a présenté l’attaque sur Twitter, expliquant que le pirate a pu repartir avec des actifs numériques d’une valeur de 7,4 millions de dollars après avoir manipulé le taux de change entre Ethereum ERC-20 et hTOKENS.
Les hTOKENS sont décrits comme des « représentations tokenisées et porteuses d’intérêts des dépôts des utilisateurs » sur le site web de Hundred Finance, dont la valeur peut fluctuer en fonction des activités d’autres emprunteurs.
L’attaque a également impliqué le bitcoin enveloppé, un jeton basé sur Ethereum qui est soutenu 1:1 par le bitcoin.
L’attaquant a été en mesure de retirer plus de jetons qu’il n’en avait déposés sur Hundred Finance, a déclaré CertiK. Tout d’abord, l’attaquant a fait don d’une grande quantité de bitcoins enveloppés au contrat intelligent de Hundred Finance qui détermine le taux de change entre les bitcoins enveloppés et les bitcoins enveloppés de Hundred Finance (hwBTC).
Cela a gonflé le taux de change, après quoi l’attaquant a contracté un prêt important et a pu récupérer le montant qu’il avait donné en rachetant une quantité relativement faible de Hundred Finance Wrapped Bitcoin.
CertiKSkynetAlert @HundredFinance L’attaquant de Hundred Finance a manipulé le taux de change entre les jetons ERC-20 et les htokens, ce qui leur a permis de retirer plus de jetons qu’ils n’en avaient déposés à l’origine. Les pertes liées à cette attaque sont estimées à environ 7,4 millions de dollars.
Restez vigilants ! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) Le 15 avril 2023
Selon la société de sécurité Numen Cyber Technology, spécialisée dans le Web-3, la perte subie par Hundred Finance comprend plus de 1 000 Ethereum, environ 1,2 million de stablecoins USDC, environ 1,1 million de stablecoins Tethern et près de 843 000 stablecoins DAI, parmi d’autres jetons.
Perte totale :
0,058 $WBTC
20 854 $SNX
1 265 978 $USDC
842 788 $DAI
1 113 430 $USDT
865 142 $sUSD
457 286 $FRAX
1 030 $ETH– NumenAlert Ⓝ (@NumenAlert) Le 16 avril 2023
Le piratage subi par Hundred Finance sur Optimism intervient un peu plus d’un an après que le protocole a été piraté sur la chaîne Gnosis, un projet de blockchain qui fonctionne au-dessus du réseau Ethereum. Cet incident avait conduit Hundred Finance à mettre temporairement en pause ses marchés sur l’ensemble des chaînes.
Malheureusement, Hundred et Agave ont tous deux été exploités sur la chaîne Gnosis aujourd’hui. L’équipe de Gnosis est au courant, l’enquête est en cours.
Tous les marchés Hundred sur toutes les chaînes sont en pause pour le moment.
Voici les deux transactions :
Hundred https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) 15 mars 2022
