W ten weekend protokół DeFi Hundred Finance został zhakowany na ponad 7 milionów dolarów. W zeszłym roku projekt również doznał podobnego ataku
Hundred Finance cierpi na hack na Optimism
Wielołańcuchowy protokół pożyczkowy i kredytowy Hundred Finance (HND), doznał w ten weekend włamania, co spowodowało stratę około 7,4 miliona dolarów.
Włamanie miało miejsce na warstwie 2 Optimism (OP) i chociaż zespoły protokołu nazwały „nie na temat tego, jak atak został wykonany”, ponieważ przygotowywały analizę, firma zajmująca się bezpieczeństwem blockchain CertiK już przyjrzała się sprawie.
Miałoby to wynikać z manipulacji formułą kursową pomiędzy WBTC a hBTC, przy czym hTokeny są dowodem depozytu otrzymywanego podczas dostarczania płynności na protokole. Poprzez sztuczne dodawanie dużych ilości WBTC do smart kontraktu, cena zmienia się, a to pozwalało atakującemu wypłacić więcej niż mu przysługiwało, co CertiK wyjaśnił w swoim wątku:
CertiKSkynetAlert @HundredFinance atakujący manipulował kursem wymiany pomiędzy tokenami ERC-20 a htokenami, co pozwoliło mu wypłacić więcej tokenów niż pierwotnie zdeponował. Szacowane straty tego ataku to około 7,4 mln dolarów.
Zachowajcie czujność! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) 15 kwietnia 2023
W dodatku Hundred Finance zaprosiło do kontaktu osoby poszkodowane w hacku, które są mieszkańcami Stanów Zjednoczonych, a w szczególności stanu Nowy Jork. Jednak, choć spekuluje się, że może dojść do rekompensaty, to powody tej prośby nie zostały podane do publicznej wiadomości:
Jeśli ktokolwiek dotknięty przez hack jest z USA, a konkretnie z NY, prosimy o kontakt, dm na to konto lub jednego z członków zespołu na Discordzie. Dziękujemy!
– Hundred Finance (@HundredFinance) Kwiecień 16, 2023
Drugi atak w ciągu 13 miesięcy
To nie pierwszy raz, kiedy Hundred Finance zostało zhakowane. W marcu 2022 roku zaatakowano protokół za 2 363 ETH, czyli ówczesne 6,2 mln dolarów. Epizod ten miał miejsce na łańcuchu Gnosis (xDAI).
Co więcej, wydaje się, że defekt, o którym dziś mówimy, jest wspólny dla innych protokołów, ponieważ kod Hundred Finance jest w rzeczywistości widelcem Coumpound V2. W związku z tym, zespół projektowy zaprosił podobne forki do skontaktowania się z nimi w celu omówienia luki:
Jeśli jesteś z forka Compound V2 i my lub nasi bracia nie są jeszcze z Tobą w kontakcie, prosimy o kontakt, abyśmy mogli podzielić się informacjami o luce, ponieważ jest to ogólny błąd w kodzie, a nie specyficzny dla wdrożenia Hundred.
Dziękujemy
– Hundred Finance (@HundredFinance) 16 kwietnia 2023
W tym samym czasie HND, token Hundred Finance, całkowicie się rozpadł. Podczas gdy przed wydarzeniami handlowano nim po 0,043$, w chwili pisania tego tekstu jest on już o połowę niższy i wynosi 0,021$.
Podczas gdy zaangażowane kwoty mogą wydawać się stosunkowo niewielkie w porównaniu z innymi atakami w ekosystemie zdecentralizowanych finansów (DeFi), warto zauważyć, że protokół rości sobie prawo do zaledwie 10,5 miliona dolarów depozytów. W zależności od obrotu wydarzeń, odzyskanie środków przez projekt może być trudne.