Hundred Finance, una popular plataforma de DeFi El incidente dent conmocionado a la criptocomunidad, generando preocupaciones sobre la seguridad de DeFi .
Según las fuentes, el hackeo ocurrió el 15 de abril de 2023, cuando los atacantes explotaron una vulnerabilidad en la red Optimism, una solución de escalado de capa 2 para Ethereum , que utiliza Hundred Finance para transacciones más rápidas y económicas.
Los piratas informáticos pasan a otra entidad criptográfica
Según los informes, Hundred Finance reveló la vulnerabilidad el 15 de abril y afirmó que se había puesto en contacto con el pirata informático y se estaba coordinando con varios equipos de seguridad para abordar el dent . Aunque el protocolo no reveló cómo se llevó a cabo el ataque, de blockchain CertiK declaró que se trataba de un ataque de préstamo relámpago.
Hundred Finance es un protocolo de préstamos multicadena que emplea el modelo veHND para finanzas descentralizadas ( DeFi ). El protocolo se integra con los oráculos de Chainlink
Los ataques de préstamo relámpago involucran a un pirata informático que toma prestada una gran suma de dinero de un protocolo de préstamo en forma de un préstamo no garantizado. Luego, el hacker manipula el precio de un activo en una plataforma de finanzas descentralizadas ( DeFi ) utilizando los fondos robados.
Según Certik, el atacante manipuló el tipo de cambio entre los tokens ERC-20 y hTOKENS en el caso de Hundred, permitiéndoles retirar más tokens de los que habían depositado inicialmente.
En el sitio web de Hundred Finance, los hTOKENS se describen como "representaciones tokenizadas que devengan intereses de los depósitos de los usuarios" cuyo valor fluctúa en función de las actividades de otros prestatarios. Además, en el ataque se utilizó Bitcoin envuelto, un token basado en Ethereum respaldado 1:1 por Bitcoin . La compañía de seguridad blockchain continuó:
La fórmula del tipo de cambio se manipuló a través del valor Cash . Cash es la cantidad de WBTC que tiene el trac de hBTC. El atacante lo manipuló donando grandes cantidades de WBTC al trac hToken para que el tipo de cambio suba.
Certik
Certik afirma que se sacaron grandes préstamos mientras se manipulaba el tipo de cambio. Hundred Finance estaba elaborando un informe post-mortem sobre el dent .
La respuesta de Hundred Finance
Horas después del ataque, el equipo de protocolo de Hundred Finance declaró que estaba preparando una autopsia para determinar cómo ocurrió el ataque. Además, el protocolo instruyó a las personas a no especular hasta que una declaración oficial proporcione una aclaración.
Además, Hundred Finance declaró que está intentando comunicarse con el pirata informático en un esfuerzo por recuperar parte o la totalidad de los fondos robados. Hundred Finance declaró en un tuit separado que también se estaba comunicando con varios equipos de seguridad sobre el dent .
Un miembro del equipo de Hundred Finance con el alias acidbird declaró en una sala de chat en el servidor Discord que el “hacker aún no habla”, pero que el equipo está trabajando “en todos los escenarios posibles”.
Además, según acidbird, los miembros del equipo de Hundred Finance han sido "golpeados financieramente" por el ataque, incluido un individuo que tenía todas sus monedas estables en el protocolo.
El domingo, el protocolo solicitó que los usuarios afectados radicados en Estados Unidos, específicamente el estado de Nueva York, se comuniquen con Hundred Finance a través de Twitter o la aplicación de mensajería Discord.
El sábado, cuando el valor del token Hundred Finance del protocolo, HND, era de aproximadamente $0,0416, según CoinGecko, Hundred Finance emitió su primera alerta de Twitter sobre el ataque. Desde entonces, ha bajado aproximadamente un 46% a $0,0212.
Según la empresa de seguridad centrada en Web-3 Numen Cyber Technology, la pérdida de Hundred Finance incluye más de 1000 Ethereum , aproximadamente 1,2 millones de monedas estables USDC, aproximadamente 1,1 millones de monedas estables Tethern y casi 843 000 monedas estables DAI, entre otros tokens.
Este ataque se produce casi un año después de que Hundred fuera expuesto a otro exploit de Gnosis Chain. En ese momento, el hacker usó un ataque de reingreso para drenar toda la liquidez del protocolo, robando más de $6 millones. El hacker también robó fondos del protocolo Agave utilizando el mismo exploit.
Varios perpetradores han utilizado ataques de préstamos rápidos para apuntar a los protocolos DeFi desde el año pasado. Los ataques a Euler Finance ($196 millones) y Mango Markets ($46 millones) son ejemplos recientes. Mientras que el hacker de Eulerwhile devolvió la mayor parte de los fondos, el ladrón de Mango fue detenido por las autoridades estadounidenses.
