В эти выходные протокол DeFi Hundred Finance был взломан на сумму более $7 млн. В прошлом году проект также подвергся аналогичной атаке
Протокол Hundred Finance подвергся взлому на Optimism
Многоцепочечный протокол кредитования и заимствования Hundred Finance (HND) подвергся взлому в эти выходные, в результате чего было потеряно около 7,4 миллиона долларов.
Взлом произошел на втором уровне Optimism (OP), и хотя команды протокола назвали «не то, как была осуществлена атака», поскольку они готовили анализ, фирма CertiK, занимающаяся безопасностью блокчейна, уже изучила этот вопрос.
Это произошло из-за манипуляции формулой обменного курса между WBTC и hBTC, где hTokens являются подтверждением депозита, полученного при предоставлении ликвидности на протоколе. Искусственное добавление большого количества WBTC в смарт-контракт привело к изменению цены, что позволило злоумышленнику снять больше, чем он имел право, как объяснил CertiK в своей теме:
CertiKSkynetAlert @HundredFinance атакующий манипулировал обменным курсом между токенами ERC-20 и htokens, что позволило ему вывести больше токенов, чем он первоначально вложил. Предполагаемый ущерб от этой атаки составляет около $7,4 млн.
Будьте бдительны! https://t.co/1hxAnFoNjj
— CertiK Alert (@CertiKAlert) Апрель 15, 2023
Кроме того, компания Hundred Finance предложила всем пострадавшим от взлома, проживающим в США, в частности, в штате Нью-Йорк, связаться с ней. Однако, хотя есть предположение, что компенсация может быть получена, причины этой просьбы не были обнародованы:
Если кто-либо, пострадавший от взлома, находится в США, в частности, в штате Нью-Йорк, пожалуйста, свяжитесь с нами, напишите на этот аккаунт или одному из членов команды в Discord. Спасибо!
— Hundred Finance (@HundredFinance) Апрель 16, 2023
Вторая атака за 13 месяцев
Это не первый случай взлома Hundred Finance. В марте 2022 года протокол был атакован на сумму 2 363 ETH, что на тот момент составляло 6,2 миллиона долларов. Этот эпизод произошел на цепочке Gnosis Chain (xDAI).
Более того, похоже, что дефект, о котором мы сегодня говорим, характерен и для других протоколов, поскольку код Hundred Finance фактически является форком Coumpound V2. В связи с этим команда проекта предложила аналогичным форкам связаться с ними для обсуждения уязвимости:
Если вы являетесь форком Compound V2 и мы или наши друзья еще не связались с вами, пожалуйста, свяжитесь с нами, чтобы мы поделились информацией о взломе, поскольку это общий недостаток в коде, а не специфический для развертывания Hundred.
Спасибо
— Hundred Finance (@HundredFinance) Апрель 16, 2023
В то же время HND, токен Hundred Finance, полностью развалился. Если до этих событий он торговался на уровне $0,043, то на момент написания статьи он стоит вдвое меньше — $0,021.
Хотя затронутые суммы могут показаться относительно небольшими по сравнению с другими атаками в экосистеме децентрализованных финансов (DeFi), стоит отметить, что протокол претендует только на $10,5 млн депозитов. В зависимости от того, как будут развиваться события, проекту может быть трудно оправиться.
