この週末、DeFi Hundred Financeプロトコルがハッキングされ、700万ドル以上の損害を受けた。昨年、このプロジェクトはまた同様の攻撃を受けた
。
百貨ファイナンスがOptimismでハッキングに遭う
マルチチェーンの貸し借りプロトコルであるHundred Finance(HND)は、今週末にハッキングに遭い、約740万ドルの損失が発生しました。
ハッキングはレイヤー2のオプティミズム(OP)で行われ、プロトコルのチームは分析を準備していたため「攻撃がどのように実行されたかは不明」としていますが、ブロックチェーンセキュリティ企業のCertiKはすでにこの問題を調査しています。
これは、WBTCとhBTCの交換レートの計算式が操作されたことによるもので、hTokenはプロトコル上で流動性を提供する際に受け取る預金の証明となる。人為的に大量のWBTCをスマートコントラクトに追加することで、価格が変化し、これにより攻撃者は、CertiKが自身のスレッド:
で説明したように、対象以上の金額を引き出すことができる。
CertiKSkynetAlert@HundredFinance の攻撃者はERC-20トークンとhtokens間の為替レートを操作し、当初預けた以上のトークンを引き出せるようになりました。この攻撃による推定損失額は約740万ドルです。
警戒を怠らないようにしましょう!https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) April 15, 2023
(ユーブイエックスダブリュージェイ)
また、Hundred Financeは、今回のハッキングで被害を受けた米国、特にニューヨーク州の居住者に対し、連絡を取るよう呼びかけています。ただし、補償が行われる可能性があるとの憶測もありますが、この要請の理由は公表されていません:
。
ハッキングの影響を受けた方がアメリカ、特にNYの方であれば、Discordでこのアカウントかチームメンバーの誰かに連絡を取ってください。ありがとうございます!
– Hundred Finance (@HundredFinance) April 16, 2023
13ヶ月ぶり2度目の攻撃
百貨がハッキングされたのは今回が初めてではありません。2022年3月、このプロトコルはETH 2,363、つまり当時620万ドルの攻撃を受けた。このエピソードはGnosis Chain(xDAI)で行われたものです。
さらに、Hundred Financeのコードは実はCoumpound V2のフォークであることから、今日話題になっている欠陥は他のプロトコルに共通するものであるようです。このため、プロジェクトチームは、脆弱性について議論するために、同様のフォークに連絡を取るよう呼びかけています:
。
もしあなたが Compound V2 のフォークで、私たちや私たちの仲間がまだ連絡を取っていないのであれば、ハッキングに関する情報を共有するために連絡を取ってください。
– Hundred Finance (@HundredFinance) April 16, 2023
(ユーブイエックスダブリュージェイ)
同時に、Hundred FinanceトークンであるHNDは完全に崩れ去りました。事件前は0.043ドルで取引されていたが、本稿執筆時点ではその半分の0.021ドルになっている。
関与した金額は、分散型金融エコシステム(DeFi)における他の攻撃と比較して比較的小さいと思われるかもしれませんが、このプロトコルが主張する預金額は1,050万ドルに過ぎないということは注目に値します。成り行き次第では、このプロジェクトが回復するのは難しいかもしれません
。