Hundred Finance потеряла 7 миллионов долларов из-за взлома Optimism

Протокол мультичейнового кредитования Hundred Finance столкнулся со значительным нарушением безопасности в блокчейне Optimism уровня 2 Ethereum. Согласно протоколу в Твиттере, убытки составляют 7,4 миллиона долларов.

Hundred Finance объявила об эксплойте 15 апреля, заявив, что связалась с хакером и работает с различными группами безопасности над инцидентом. Хотя в протоколе не раскрывается, как была проведена атака, компания Certik, занимающаяся безопасностью блокчейна, отметила, что это была атака с использованием мгновенного кредита:

https://twitter.com/CertiKAlert/status/1647330607565885441?ref_src=twsrc%5Etfw

Атаки с использованием мгновенного кредита происходят, когда хакер занимает большую сумму средств с помощью мгновенного кредита (разновидность необеспеченного кредита) из протокола кредитования. Затем хакер комбинирует его с другими методами, чтобы манипулировать ценой актива на платформе децентрализованных финансов (DeFi).

По словам Сертика, в случае с Hundred злоумышленник манипулировал обменным курсом между токенами ERC-20 и hTOKENS, что позволило им вывести больше токенов, чем было первоначально депонировано. Фирма по безопасности блокчейна продолжила:

«Формула обменного курса была изменена с помощью денежной стоимости. Денежные средства — это сумма WBTC, которая есть в контракте hBTC. Злоумышленник манипулировал ею, пожертвовав большое количество WBTC контракту hToken, чтобы обменный курс вырос».

Чертик говорит, что крупные кредиты были взяты под манипулирование обменным курсом. Hundred Finance готовит вскрытие инцидента.

Эта атака произошла почти через 12 месяцев после того, как Hundred подвергся другому эксплойту в Gnosis Chain. В то время хакер истощил всю ликвидность протокола с помощью повторной атаки. Потеряно более 6 миллионов долларов. В этом же эксплойте хакер также украл средства из протокола Agave.

С прошлого года ряд злоумышленников использовали атаки с использованием мгновенных кредитов для атак на протоколы DeFi. Недавние случаи включают атаки на Euler Finance (196 миллионов долларов) и Mango Markets (46 миллионов долларов). В то время как взлом Эйлера вернул большую часть средств, вор Манго был арестован властями Соединенных Штатов.