Hundred Finance, una popolare piattaforma di finanza decentralizzata (DeFi), è stata vittima di un attacco informatico alla rete Optimism, con una perdita di 7,4 milioni di dollari. L'incidente ha inviato onde d'urto attraverso la comunità crittografica, sollevando preoccupazioni sulla sicurezza dei protocolli DeFi.
Secondo le fonti, l'hacking è avvenuto il 15 aprile 2023, quando gli aggressori hanno sfruttato una vulnerabilità nella rete Optimism, una soluzione di ridimensionamento di livello 2 per Ethereum, che Hundred Finance utilizza per transazioni più veloci ed economiche.
Gli hacker passano a un'altra entità crittografica
Secondo i rapporti, Hundred Finance ha rivelato la vulnerabilità il 15 aprile, affermando di aver contattato l'hacker e si stava coordinando con più team di sicurezza per affrontare l'incidente. Sebbene il protocollo non abbia rivelato come è stato effettuato l'attacco, la società di sicurezza blockchain CertiK ha dichiarato che si trattava di un attacco di prestito lampo.
Hundred Finance è un protocollo di prestito multi-catena che utilizza il modello veHND per la finanza decentralizzata (DeFi). Il protocollo si integra con gli oracoli di Chainlink per garantire la salute e la stabilità del mercato.
Gli attacchi di prestito flash coinvolgono un hacker che prende in prestito una grossa somma di denaro da un protocollo di prestito sotto forma di prestito non garantito. L'hacker quindi manipola il prezzo di un asset su una piattaforma di finanza decentralizzata (DeFi) utilizzando i fondi rubati.
Secondo Certik, l'attaccante ha manipolato il tasso di cambio tra i token ERC-20 e hTOKENS nel caso di Hundred, consentendo loro di prelevare più token di quelli che avevano inizialmente depositato.
Sul sito Web di Hundred Finance, gli hTOKENS sono descritti come "rappresentazioni tokenizzate fruttifere di depositi degli utenti" il cui valore oscilla in base alle attività di altri mutuatari. Inoltre, nell'attacco è stato utilizzato Bitcoin avvolto, un token basato su Ethereum supportato 1:1 da Bitcoin. La società di sicurezza blockchain ha continuato:
La formula del tasso di cambio è stata manipolata attraverso il valore in contanti. Il contante è la quantità di WBTC che ha il contratto hBTC. L'attaccante lo ha manipolato donando grandi quantità di WBTC al contratto hToken in modo che il tasso di cambio aumentasse.
Certificato
Certik afferma che sono stati contratti ingenti prestiti mentre il tasso di cambio veniva manipolato. La Hundred Finance stava redigendo un rapporto post mortem sull'incidente.
La risposta di Hundred Finance
Ore dopo l'attacco, il team del protocollo di Hundred Finance ha dichiarato che stava preparando un'autopsia per determinare come si è verificato l'attacco. Inoltre, il protocollo ha incaricato le persone di non speculare fino a quando una dichiarazione ufficiale non fornisce chiarimenti.
Inoltre, Hundred Finance ha dichiarato che sta tentando di comunicare con l'hacker nel tentativo di recuperare alcuni o tutti i fondi rubati. Hundred Finance ha dichiarato in un Tweet separato che stava anche comunicando con vari team di sicurezza in merito all'incidente.
Un membro del team di Hundred Finance con l'alias acidbird ha dichiarato in una chat room sul server Discord dell'azienda che "l'hacker non sta ancora parlando" ma che il team sta lavorando "su tutti i possibili scenari".
Inoltre, secondo acidbird, i membri del team di Hundred Finance sono stati "colpiti finanziariamente" dall'attacco, incluso un individuo che aveva tutte le proprie stablecoin sul protocollo.
Domenica, il protocollo richiedeva agli utenti interessati con sede negli Stati Uniti, in particolare nello stato di New York, di contattare Hundred Finance tramite Twitter o l'applicazione di messaggistica Discord.
Sabato, quando il valore del token Hundred Finance del protocollo, HND, era di circa $ 0,0416, secondo CoinGecko, Hundred Finance ha emesso il suo primo avviso Twitter sull'attacco. Da allora, è sceso di circa il 46% a 0,0212$.
Secondo la società di sicurezza focalizzata su Web-3 Numen Cyber Technology, la perdita di Hundred Finance include oltre 1000 Ethereum, circa 1,2 milioni di stablecoin USDC, circa 1,1 milioni di stablecoin Tethern e quasi 843.000 stablecoin DAI, tra gli altri token.
Questo attacco arriva quasi un anno dopo che Hundred è stato esposto a un altro exploit di Gnosis Chain. A quel tempo, l'hacker ha utilizzato un attacco di rientro per drenare tutta la liquidità del protocollo, rubando oltre $ 6 milioni. L'hacker ha anche rubato fondi dal protocollo Agave utilizzando lo stesso exploit.
Diversi autori hanno utilizzato attacchi di prestito flash per prendere di mira i protocolli DeFi dallo scorso anno. Esempi recenti sono gli attacchi a Euler Finance (196 milioni di dollari) e Mango Markets (46 milioni di dollari). Mentre l'hacker di Eulerwhile ha restituito la maggior parte dei fondi, il ladro di Mango è stato arrestato dalle autorità statunitensi.