Hacker drena protocolo e token do projeto desaba quase 50%

Hacker explorou arbitragem entre tokens na rede Optimism para obter mais de US$ 7 milhões dos investidores do projeto
Crime

Shutterstock

O protocolo de empréstimo multi-chain Hundred Finance divulgou no sábado (15) que perdeu cerca de US$ 7 milhões depois de ser hackeado na Optimism, uma blockchain de segunda camada da rede Ethereum.

A equipe do protocolo disse que estava preparando uma análise sobre como o ataque ocorreu, e aconselhou as pessoas a não especular sobre a situação até que a empresa forneça uma declaração oficial.

Publicidade

Além disso, a Hundred Finance disse que está tentando estabelecer um diálogo com o hacker na esperança de recuperar parte dos fundos roubados. Em um tweet separado, a Hundred Finance disse que também estava conversando com diferentes equipes de segurança sobre o incidente.

No sábado antes do ataque o valor do token Hundred Finance do protocolo, HND, estava em torno de US$ 0,0416, de acordo com o CoinGecko. Desde então, ele caiu cerca de 46%, para US$ 0,0212.

Estimated current loss is ~7m USD.

Once again we hope the hacker will reach out back to us and we will be able to find a joint solution to resolve this matter. 🙏

Thank you everyone for your support and help during these difficult times. ❤️ https://t.co/wLGAl4AAGA

— Hundred Finance (@HundredFinance) April 15, 2023

Em uma sala de bate-papo no servidor da Hundred Finance no Discord, um membro anônimo da empresa chamado acidbird apontou que o “hacker ainda não começou a falar”, mas a equipe está trabalhando “em todos os cenários possíveis.”

Além disso, acidbird também comentou que os membros da equipe da Hundred Finance foram “atingidos financeiramente” pelo ataque, incluindo uma pessoa que tinha todas as suas stablecoins no protocolo.

Publicidade

No domingo, o protocolo pediu aos usuários afetados pelo ataque e sediados nos EUA – especificamente no estado de Nova York – que entrassem em contato com a Hundred Finance no Twitter ou no aplicativo de mensagens Discord.

Como foi o ataque

A empresa de segurança blockchain CertiK destrinchou o ataque no Twitter, explicando que o hacker conseguiu sair com US$ 7,4 milhões em ativos digitais depois de manipular a taxa de câmbio entre tokens no padrão ERC-20 e hTOKENS.

#CertiKSkynetAlert 🚨@HundredFinance’s attacker manipulated the exchange rate between ERC-20 tokens and htokens which allowed them to withdraw more tokens than they had originally deposited. The estimated losses of this attack is around $7.4 million.

Stay vigilant! https://t.co/1hxAnFoNjj

— CertiK Alert (@CertiKAlert) April 15, 2023

Os hTOKENS são descritos como “representações tokenizadas com juros de depósitos de usuários” no site da Hundred Finance, que pode variar em valor em função das atividades de outros mutuários.

O ataque também envolveu o wrapped Bitcoin, um token baseado em Ethereum que é usado com a paridade de 1:1 pelo Bitcoin.

Publicidade

O hacker conseguiu retirar mais tokens do que havia depositado para a Hundred Finance, disse a CertiK. Primeiro, o atacante doou uma grande quantidade de wrapped Bitcoin para o contrato inteligente da Hundred Finance que determinou a taxa de câmbio entre o wrapped Bitcoin e o Hundred Finance Wrapped Bitcoin (Hwbtc).

Isso inflacionou a taxa de câmbio, fazendo com que o hacker fizesse um grande empréstimo e conseguisse recuperar o valor que havia doado resgatando uma quantia relativamente pequena de centenas de Bitcoins financeiros.

De acordo com a empresa de segurança focada na Web-3 Numen Cyber Technology, a perda sofrida pela Hundred Finance compreende mais de 1.000 Ethereum, cerca de 1,2 milhão da stablecoin USDC, cerca de 1,1 milhão da stablecoin Tethern e quase 843 mil stablecoins DAI, entre outras criptomoedas e tokens.

Latest Update:

The total amount exploited in the @HundredFinance project on #Optimism has been estimated to be around US$7mil

Root cause & detailed attack analysis👇 https://t.co/0tJVYcwRc9

— NumenAlert Ⓝ (@NumenAlert) April 16, 2023

O hack, que aconteceu com a Hundred Finance na Optimism, ocorre pouco mais de um ano depois que o protocolo foi hackeado na Gnosis chain, um projeto blockchain que funciona no topo da rede Ethereum. Esse incidente fez com que a Hundred Finance interrompesse temporariamente os seus mercados em todas as cadeias.

*Traduzido por Gustavo Martins com autorização do Decrypt.