Questo fine settimana il protocollo DeFi Hundred Finance è stato violato per oltre 7 milioni di dollari. Anche l’anno scorso il progetto aveva subito un attacco simile
Hundred Finance subisce un hack su Optimism
Il protocollo multi-catena di prestiti e mutui Hundred Finance (HND) ha subito un hack questo fine settimana, con una perdita di circa 7,4 milioni di dollari.
L’hack è avvenuto sul Layer 2 Optimism (OP) e, sebbene i team del protocollo abbiano dichiarato di “non sapere come sia stato eseguito l’attacco” in quanto stavano preparando un’analisi, la società di sicurezza blockchain CertiK ha già esaminato la questione.
L’attacco sarebbe dovuto a una manipolazione della formula del tasso di cambio tra WBTC e hBTC, con gli hTokens che rappresentano la prova del deposito ricevuto quando si fornisce liquidità sul protocollo. Aggiungendo artificialmente grandi quantità di WBTC allo smart contract, il prezzo cambia e questo ha permesso all’attaccante di prelevare più di quanto avesse diritto, come ha spiegato CertiK nel suo thread:
CertiKSkynetAlert @HundredFinance l’aggressore ha manipolato il tasso di cambio tra i token ERC-20 e gli htoken, il che gli ha permesso di ritirare più token di quelli che aveva originariamente depositato. Le perdite stimate di questo attacco sono di circa 7,4 milioni di dollari.
Rimanete vigili! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) 15 aprile 2023
Inoltre, Hundred Finance ha invitato le persone colpite dall’hacking che risiedono negli Stati Uniti, in particolare nello Stato di New York, a mettersi in contatto con loro. Tuttavia, sebbene si ipotizzi un possibile risarcimento, le ragioni di questa richiesta non sono state rese pubbliche:
Se qualcuno colpito dall’hack è statunitense, in particolare di New York, è pregato di contattare, via dm, questo account o uno dei membri del team su Discord. Grazie!
– Hundred Finance (@HundredFinance) April 16, 2023
Secondo attacco in 13 mesi
Non è la prima volta che Hundred Finance viene violata. Nel marzo 2022, il protocollo è stato attaccato per 2.363 ETH, pari a 6,2 milioni di dollari all’epoca. Questo episodio è avvenuto sulla catena Gnosis (xDAI).
Inoltre, sembra che la falla di cui parliamo oggi sia comune anche ad altri protocolli, in quanto il codice di Hundred Finance è in realtà un fork di Coumpound V2. Per questo motivo, il team del progetto ha invitato i fork simili a mettersi in contatto con loro per discutere della vulnerabilità:
Se siete un fork di Compound V2 e noi o i nostri amici non siete già in contatto con voi, contattateci in modo da condividere le informazioni sull’hack, poiché si tratta di una falla generale nel codice e non specifica dell’implementazione di Hundred.
Grazie
– Hundred Finance (@HundredFinance) 16aprile 2023
Allo stesso tempo, HND, il token Hundred Finance, è crollato completamente. Mentre prima degli eventi era scambiato a 0,043 dollari, ora è la metà, a 0,021 dollari, al momento in cui scriviamo.
Sebbene le somme coinvolte possano sembrare relativamente piccole rispetto ad altri attacchi nell’ecosistema della finanza decentralizzata (DeFi), vale la pena notare che il protocollo rivendica solo 10,5 milioni di dollari di depositi. A seconda della piega che prenderanno gli eventi, potrebbe essere difficile per il progetto recuperare.