Dit weekend is het DeFi Hundred Finance protocol voor ruim 7 miljoen dollar gehackt. Vorig jaar werd het project ook al getroffen door een soortgelijke aanval
Hundred Finance lijdt onder hack op Optimism
Het multi-keten leen- en uitleenprotocol Hundred Finance (HND), heeft dit weekend een hack ondergaan, met als gevolg een verlies van ongeveer 7,4 miljoen dollar.
De hack vond plaats op Layer 2 Optimism (OP), en hoewel de teams van het protocol hebben geroepen “niet te weten hoe de aanval werd uitgevoerd” omdat ze een analyse aan het voorbereiden waren, heeft blockchainbeveiligingsbedrijf CertiK de zaak al bekeken.
Dit zou te wijten zijn aan een manipulatie van de wisselkoersformule tussen WBTC en hBTC, waarbij hTokens het bewijs van storting zijn dat wordt ontvangen bij het verstrekken van liquiditeit op het protocol. Door kunstmatig grote hoeveelheden WBTC aan het smart contract toe te voegen, verandert de koers en kon de aanvaller meer opnemen dan waarvoor hij in aanmerking kwam, zoals CertiK uitlegde in zijn thread:
CertiKSkynetAlert @HundredFinance de aanvaller manipuleerde de wisselkoers tussen ERC-20 tokens en htokens waardoor hij meer tokens kon opnemen dan hij oorspronkelijk had gestort. Het geschatte verlies van deze aanval is ongeveer 7,4 miljoen dollar.
Blijf waakzaam! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) April 15, 2023
Daarnaast heeft Hundred Finance de gedupeerden van de hack die in de Verenigde Staten en met name in de staat New York wonen, uitgenodigd contact op te nemen. Hoewel er gespeculeerd wordt dat er compensatie kan komen, zijn de redenen voor dit verzoek niet openbaar gemaakt:
Als iemand die getroffen is door de hack uit de VS komt, specifiek uit NY, neem dan contact op, dm dit account of een van de teamleden op Discord. Bedankt!
– Hundred Finance (@HundredFinance) April 16, 2023
Tweede aanval in 13 maanden
Dit is niet de eerste keer dat Hundred Finance is gehackt. In maart 2022 werd het protocol aangevallen voor ETH 2.363, of $6,2 miljoen op dat moment. Deze episode vond plaats op de Gnosis Chain (xDAI).
Verder lijkt het erop dat de fout waar we het vandaag over hebben ook bij andere protocollen voorkomt, want de Hundred Finance code is eigenlijk een fork van Coumpound V2. Daarom heeft het projectteam soortgelijke forks uitgenodigd om contact met hen op te nemen om de kwetsbaarheid te bespreken:
Als u een Compound V2 fork bent en wij of onze vrienden zijn nog niet met u in contact, neem dan contact op zodat we de informatie over de hack kunnen delen aangezien het een algemene fout in de code is en niet specifiek voor Hundred deployment.
Bedankt
– Hundred Finance (@HundredFinance) April 16, 2023
Tegelijkertijd is HND, de Hundred Finance token, volledig uit elkaar gevallen. Terwijl het vóór de gebeurtenissen op $0,043 werd verhandeld, staat het nu op $0,021 op het moment van schrijven.
Hoewel de betrokken bedragen relatief klein lijken in vergelijking met andere aanvallen in het gedecentraliseerde financiële ecosysteem (DeFi), is het vermeldenswaard dat het protocol slechts $10,5 miljoen aan deposito’s claimt. Afhankelijk van de gang van zaken zou het moeilijk kunnen zijn voor het project om zich te herstellen.