Hundred Finance, eine beliebte Plattform für dezentralisierte Finanzen ( DeFi ), wurde Opfer eines Cyberangriffs auf das Optimism-Netzwerk, was zu einem Verlust von 7,4 Millionen US-Dollar führte. Der Vorfall dent Schockwellen durch die Krypto-Community geschickt und Bedenken hinsichtlich der Sicherheit von DeFi Protokollen geweckt.
Quellen zufolge erfolgte der Hack am 15. April 2023, als Angreifer eine Schwachstelle im Optimism-Netzwerk ausnutzten, einer Layer-2-Skalierungslösung für Ethereum , die Hundred Finance für schnellere und billigere Transaktionen nutzt.
Hacker wechseln zu einer anderen Krypto-Entität
Berichten zufolge hat Hundred Finance die Schwachstelle am 15. April offengelegt und erklärt, dass es den Hacker kontaktiert habe und sich mit mehreren Sicherheitsteams abstimme, um den Vorfall zu dent . Obwohl das Protokoll nicht enthüllte, wie der Angriff durchgeführt wurde, die Blockchain- Sicherheitsfirma CertiK an, dass es sich um einen Flash-Loan-Angriff handelte.
#CertiKSkynetAlert 🚨 @HundredFinance manipulierte den Wechselkurs zwischen ERC-20-Token und htoken, was es ihnen ermöglichte, mehr Token abzuheben, als sie ursprünglich eingezahlt hatten.
— CertiK-Alarm (@CertiKAlert) 15. April 2023
Die geschätzten Verluste dieses Angriffs belaufen sich auf rund 7,4 Millionen US-Dollar. Bleiben Sie wachsam! https://t.co/1hxAnFoNjj
Hundred Finance ist ein Multi-Chain-Kreditprotokoll, das das veHND-Modell für dezentralisierte Finanzen ( DeFi ) verwendet. Das Protokoll lässt sich in die Orakel von Chainlink
Bei Flash-Loan-Angriffen leiht sich ein Hacker eine große Geldsumme aus einem Kreditprotokoll in Form eines ungesicherten Darlehens. Der Hacker manipuliert dann den Preis eines Vermögenswertes auf einer dezentralisierten Finanzplattform ( DeFi ) unter Verwendung der gestohlenen Gelder.
Laut Certik hat der Angreifer im Fall von Hundred den Wechselkurs zwischen ERC-20-Token und hTOKENS manipuliert, sodass sie mehr Token abheben konnten, als sie ursprünglich eingezahlt hatten.
Auf der Website von Hundred Finance werden hTOKENS als „verzinsliche, tokenisierte Darstellungen von Benutzereinlagen“ beschrieben, deren Wert basierend auf den Aktivitäten anderer Kreditnehmer schwankt. Zusätzlich wurde bei dem Angriff Wrapped Bitcoin verwendet, ein Ethereum basierendes Token, das 1:1 von Bitcoin unterstützt wird. Das Blockchain-Sicherheitsunternehmen fuhr fort:
Die Wechselkursformel wurde durch Cash manipuliert. Cash ist der WBTC-Betrag, den der hBTC- trac hat. Der Angreifer hat es manipuliert, indem er große Mengen an WBTC an den hToken- trac gespendet hat, damit der Wechselkurs steigt.
Certik
Certik behauptet, dass große Kredite aufgenommen wurden, während der Wechselkurs manipuliert wurde. Hundred Finance erstellte einen Obduktionsbericht über den dent .
Antwort von Hundred Finance
Stunden nach dem Angriff gab das Protokollteam von Hundred Finance an, dass es eine Obduktion vorbereitet, um festzustellen, wie der Angriff stattgefunden hat. Darüber hinaus wies das Protokoll Einzelpersonen an, nicht zu spekulieren, bis eine offizielle Erklärung Klarheit bringt.
Darüber hinaus gab Hundred Finance an, dass es versucht, mit dem Hacker zu kommunizieren, um einige oder alle gestohlenen Gelder zurückzugewinnen. Hundred Finance gab in einem separaten Tweet an, auch mit verschiedenen Sicherheitsteams über den dent zu kommunizieren.
Wir raten davon ab, darüber zu spekulieren, wie der Angriff ausgeführt wurde, das Team bereitet eine Obduktion vor.
— Hundert Finanzen (@HundredFinance) 16. April 2023
Das Hauptaugenmerk liegt darauf, mit Hackern eine Kommunikation aufzubauen und eine Einigung zu erzielen.
Parallel sammeln wir alle verfügbaren Informationen, um diese für mögliche weitere Schritte griffbereit zu haben.
Danke
Ein Mitglied des Hundred Finance-Teams mit dem Pseudonym Acidbird erklärte in einem Chatroom auf dem Discord-Server , dass der „Hacker noch nicht spricht“, das Team aber „an allen möglichen Szenarien“ arbeite.
Darüber hinaus wurden laut Acidbird Mitglieder des Teams von Hundred Finance von dem Angriff „finanziell getroffen“, darunter eine Person, die alle ihre Stablecoins auf dem Protokoll hatte.
Am Sonntag forderte das Protokoll betroffene Benutzer mit Sitz in den Vereinigten Staaten, insbesondere im Bundesstaat New York, auf, Hundred Finance über Twitter oder die Messaging-Anwendung Discord zu kontaktieren.
#Optimism gehackt wurde . Wir werden aktualisieren, wenn es weitere Informationen dazu gibt.
— Hundert Finanzen (@HundredFinance) 15. April 2023
Am Samstag, als der Wert des Hundred Finance-Tokens des Protokolls, HND, etwa 0,0416 US-Dollar betrug, gab Hundred Finance laut CoinGecko seine erste Twitter-Warnung über den Angriff heraus. Seitdem ist er um etwa 46 % auf 0,0212 $ gefallen.
Laut dem auf Web-3 fokussierten Sicherheitsunternehmen Numen Cyber Technology umfasst der Verlust von Hundred Finance unter anderem über 1000 Ethereum , etwa 1,2 Millionen Stablecoin USDC, etwa 1,1 Millionen Stablecoin Tethern und fast 843.000 Stablecoin DAI.
Neueste Aktualisierung:
— NumenAlert Ⓝ (@NumenAlert) 16. April 2023
@HundredFinance- Projekt auf #Optimism ausgenutzte Gesamtbetrag wurde auf etwa 7 Millionen US-Dollar geschätzt.
Ursachen- und detaillierte Angriffsanalyse👇 https://t.co/0tJVYcwRc9
Dieser Angriff erfolgt fast ein Jahr, nachdem Hundred einem weiteren Gnosis Chain-Exploit ausgesetzt war. Damals benutzte der Hacker einen Reentrancy-Angriff, um die gesamte Liquidität des Protokolls zu entziehen und über 6 Millionen Dollar zu stehlen. Der Hacker hat mit demselben Exploit auch Gelder aus dem Agave-Protokoll gestohlen.
Mehrere Täter haben seit letztem Jahr Flash-Darlehensangriffe eingesetzt, um DeFi Protokolle anzugreifen. Angriffe auf Euler Finance (196 Millionen US-Dollar) und Mango Markets (46 Millionen US-Dollar) sind aktuelle Beispiele. Während der Hacker von Eulerwhile den größten Teil des Geldes zurückgab, wurde der Dieb von Mango von den US-Behörden festgenommen.