Blockchain- säkerhetsföretaget CertiK larmade den 26 mars angående det misstänkta "exit-bedrägeriet" på 4 miljoner dollar av det optimismbaserade låneprotokollet Kokomo Finance. På mindre än en minut hade värdet på KOKO-tokenet sjunkit med 95 %, och alla sociala mediekonton associerade med Kokomo Finance hade tagits bort. Däremot verkade bluffen ha utnyttjat ett kryphål i plattformens smarta trac . Det är fortfarande oklart hur många användare som påverkades av den bedrägliga handlingen.
CertiK rapporterade nyligen att KOKOs deployer hade attackerat den smarta trac för en inslagen Bitcoin token, cBTC, genom att återställa dess belöningshastighet och pausa dess lånefunktion. Därefter godkände en adress som börjar med "0x5a2d.." en ny cBTC smart trac för att spendera över 7000 Sonne Wrapped Bitcoin (So-WBTC).
Dessutom rapporterade säkerhetsföretaget att angriparen utförde ett kommando som bytte So-WBTC till en adress med 0x5a2d-koden, vilket resulterade i en vinst på 4 miljoner dollar.
En talesman för CertiK rapporterade att incidenten dent upptäckts på Optimism var den största hittills för företaget. Kokomo Finance är ett utlåningsprotokoll med öppen källkod och icke-förvaringsinstitut som arbetar på Optimism, där investerare kan handla med wBTC, ETH, USDT, USDC och DAI. Efter lanseringen den 25 mars blev Kokomo Finance snabbt populär bland plattformar som CoinGecko och Defi Llama, som officiellt trac protokollet.
avslöjade data från Defi Llama att över 2 miljoner dollar hade låsts in i Kokomo Finance. Av det totala värdet som låsts i protokollet var 72 % i form av inslagna Bitcoin . Försök att komma åt sociala medier och bloggwebbplatser på Kokomo Finances Linktree-sida ledde till felsidor, vilket tydde på att de hade tagits bort.
0xGuard genomförde en smart kontraktsrevision trac Kokomo Finance tidigare i mars ; de flesta delar av revisionen godkändes, men typografiska fel och förmågan hos KOKO-ägaren att skapa 45 % av det maximala utbudet till en godtycklig adress kunde dent .