Протокол мультичейнового кредитования Hundred Finance на блокчейне Optimism Layer 2 Ethereum столкнулся со значительными потерями из-за эксплоита. Протокол написал в Твиттере, что убытки составляют 7,4 миллиона долларов.
Hundred Finance объявила об эксплойте 15 апреля, заявив, что связалась с хакером и работает с различными группами безопасности над инцидентом. Хотя в протоколе не раскрывается, как была проведена атака, компания CertiK, занимающаяся безопасностью блокчейна, заявила, что это была атака с использованием мгновенного кредита:
«Злоумышленник Hundred Finance манипулировал обменным курсом между токенами ERC-20 и h-токенами, что позволило ему вывести больше токенов, чем они изначально внесли. По оценкам, потери от этой атаки составляют около 7,4 миллиона долларов. Будьте бдительны!» – говорится в сообщении CertiK Alert 15 апреля 2023 г.
Атаки с использованием мгновенного кредита включают заключаются в том, что хакер занимает большую сумму средств с помощью своего рода необеспеченного кредита в протоколе кредитования. Затем хакер использует эти средства для манипулирования ценой актива на платформе децентрализованных финансов (DeFi).
По словам CertiK, в случае с Hundred злоумышленник манипулировал обменным курсом между токенами ERC-20 и hTOKENS, что позволило им вывести больше токенов, чем было первоначально депонировано. Фирма по безопасности блокчейна продолжила:
«Формула обменного курса была изменена с помощью денежной стоимости. Денежные средства — это количество WBTC, которое есть в контракте hBTC. Злоумышленник манипулировал им, разместив большое количество WBTC в контракте hToken, чтобы обменный курс вырос».
CertiK говорит, что крупные кредиты были взяты для манипулирования обменным курсом. Hundred Finance готовит подробную информацию об инциденте.
Эта атака произошла почти через 12 месяцев после того, как Hundred подвергся другому эксплойту в Gnosis Chain. В то время хакер истощил всю ликвидность протокола с помощью атаки повторного входа, забрав более 6 миллионов долларов. В этом же эксплойте хакер также украл средства из протокола Agave.
С прошлого года ряд злоумышленников использовали эксплоиты с мгновенными кредитами для атак на протоколы DeFi. Недавние случаи включают атаки на Euler Finance (196 миллионов долларов) и Mango Markets (46 миллионов долларов). Хакер Euler вернул большую часть средств, вор Mango был арестован властями США.