Il protocollo di prestito multi-catena Hundred Finance ha rivelato sabato di aver perso circa 7 milioni di dollari dopo essere stato violato sulla blockchain Ethereum layer-2 Optimism.
La perdita attuale stimata è di ~7 milioni di dollari.
Ci auguriamo ancora una volta che l’hacker ci contatti e che si riesca a trovare una soluzione comune per risolvere la questione.
Grazie a tutti per il sostegno e l’aiuto che ci avete dato in questi momenti difficili. ❤️ https://t.co/wLGAl4AAGA
– Hundred Finance (@HundredFinance) 15 aprile 2023
Il team del protocollo ha dichiarato che sta preparando un’autopsia sulle modalità dell’attacco e ha consigliato di non fare speculazioni fino a quando non verrà fatta chiarezza attraverso una dichiarazione ufficiale.
Inoltre, Hundred Finance ha dichiarato che sta cercando di stabilire un dialogo con l’hacker nella speranza di recuperare alcuni o tutti i fondi rubati. In un tweet separato, Hundred Finance ha dichiarato che sta anche parlando con diversi team di sicurezza in merito all’incidente.
Si consiglia di non fare speculazioni su come è stato eseguito l’attacco, il team sta preparando un’autopsia.
L’obiettivo principale è stabilire un contatto con l’hacker e raggiungere un accordo.
Parallelamente stiamo raccogliendo tutte le informazioni disponibili in modo da averle a portata di mano per eventuali passi successivi.
Grazie
– Hundred Finance (@HundredFinance) 16 aprile 2023
In una chatroom sul server discord di Hundred Finance, un membro pseudonimo del team di Hundred Finance di nome acidbird ha dichiarato che “l’hacker non parla ancora” ma che il team sta lavorando “su tutti i possibili scenari”.
Inoltre, acidbird ha detto che i membri del team di Hundred Finance sono stati “colpiti finanziariamente” dall’attacco, compresa una persona che aveva tutti i suoi stablecoin sul protocollo.
Domenica il protocollo ha chiesto agli utenti colpiti dall’attacco e residenti negli Stati Uniti, in particolare nello stato di New York, di contattare Hundred Finance su Twitter o sull’app di messaggistica Discord.
Hundred Finance ha avvertito per la prima volta gli utenti su Twitter dell’attacco sabato, quando il valore del token Hundred Finance del protocollo, HND, era di circa 0,0416 dollari, secondo CoinGecko. Da allora è sceso di circa il 46% a 0,0212 dollari.
Sembra che Hundred sia stato violato su Optimism Aggiorneremo quando ci saranno ulteriori informazioni in merito.
– Hundred Finance (@HundredFinance) April 15, 2023
La società di sicurezza blockchain CertiK ha descritto l’attacco su Twitter, spiegando che l’hacker è riuscito a portare via 7,4 milioni di dollari di beni digitali dopo aver manipolato il tasso di scambio tra Ethereum ERC-20 e hTOKENS.
Gli hTOKENS sono descritti sul sito web di Hundred Finance come “rappresentazioni dei depositi degli utenti con interessi e tokenizzati”, il cui valore può fluttuare in base alle attività di altri mutuatari.
L’attacco ha coinvolto anche il Bitcoin avvolto, un token basato su Ethereum che è supportato 1:1 dal Bitcoin.
L’aggressore è stato in grado di ritirare più token di quanti ne avesse depositati presso Hundred Finance, ha dichiarato CertiK. In primo luogo, l’aggressore ha donato una grande quantità di Bitcoin avvolti allo smart contract di Hundred Finance che determinava il tasso di cambio tra il Bitcoin avvolto e il Bitcoin avvolto di Hundred Finance (hwBTC).
In questo modo il tasso di cambio è stato gonfiato, dopodiché l’aggressore ha contratto un prestito di grandi dimensioni ed è stato poi in grado di recuperare l’importo donato riscattando una quantità relativamente piccola di Hundred Finance Wrapped Bitcoin.
CertiKSkynetAlert @HundredFinance l’aggressore ha manipolato il tasso di cambio tra i token ERC-20 e gli htoken, consentendo loro di ritirare una quantità di token superiore a quella originariamente depositata. Le perdite stimate di questo attacco sono di circa 7,4 milioni di dollari.
Rimanete vigili! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) April 15, 2023
Secondo la società di sicurezza Numen Cyber Technology, focalizzata sul Web-3, la perdita subita da Hundred Finance comprende oltre 1.000 Ethereum, circa 1,2 milioni della stablecoin USDC, circa 1,1 milioni della stablecoin Tethern e quasi 843.000 della stablecoin DAI, oltre ad altri token.
Perdita totale:
0,058 $WBTC
20.854 $SNX
1.265.978 $USDC
842.788 $DAI
1.113.430 $USDT
865.142 $sUSD
457.286 $FRAX
1.030 $ETH– NumenAlert Ⓝ (@NumenAlert) 16 aprile 2023
L’hack subito da Hundred Finance su Optimism arriva poco più di un anno dopo che il protocollo è stato violato sulla catena Gnosis, un progetto di blockchain che gira sopra la rete Ethereum. Quell’incidente ha causato la sospensione temporanea dei mercati di Hundred Finance su tutte le catene.
Purtroppo Hundred e Agave sono stati entrambi sfruttati oggi sulla catena Gnosis. Il team di Gnosis ne è a conoscenza e le indagini sono in corso.
Tutti i mercati di Hundred su tutte le catene sono in pausa per ora.
Queste sono le due transazioni:
Cento https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4– Hundred Finance (@HundredFinance) 15 marzo 2022