Сообщается, что злоумышленник манипулировал обменным курсом между токенами ERC-20 и hTOKENS, чтобы украсть более 7 миллионов долларов из протокола Hundred Finance.
Протокол мультичейнового кредитования Hundred Finance столкнулся со значительным нарушением безопасности в блокчейне Optimism уровня 2 Ethereum. Протокол написал, что убытки составляют 7,4 миллиона долларов.
Hundred Finance объявила об эксплойте 15 апреля, заявив, что связалась с хакером и работает с различными группами безопасности над инцидентом. Хотя в протоколе не раскрывается, как была осуществлена атака, компания CertiK, занимающаяся безопасностью блокчейна, заявила, что это была атака с использованием мгновенного кредита.
Атаки с использованием мгновенного кредита включают в себя хакера, занимающего большую сумму средств с помощью типа необеспеченного кредита из протокола кредитования. Затем хакер использует эти средства для манипулирования ценой актива на платформе децентрализованных финансов (DeFi).
По словам CertiK, в случае с Hundred злоумышленник манипулировал обменным курсом между токенами ERC-20 и hTOKENS, что позволило им вывести больше токенов, чем было первоначально депонировано. Фирма по безопасности блокчейна продолжила:
«Формула обменного курса была изменена с помощью денежной стоимости. Денежные средства — это количество WBTC, которое есть в контракте hBTC. Злоумышленник манипулировал им, пожертвовав большое количество WBTC на контракт hToken, чтобы обменный курс вырос».
CertiK говорит, что крупные кредиты были взяты под манипулирование обменным курсом. Hundred Finance готовила вскрытие инцидента.
Эта атака произошла почти через 12 месяцев после того, как Hundred подвергся другому эксплойту в Gnosis Chain. В то время хакер истощил всю ликвидность протокола с помощью повторной атаки, забрав более 6 миллионов долларов. В этом же эксплойте хакер также украл средства из протокола Agave.
С прошлого года ряд злоумышленников использовали атаки с использованием мгновенных кредитов для атак на протоколы DeFi. Недавние случаи включают атаки на Euler Finance ( 196 миллионов долларов ) и Mango Markets (46 миллионов долларов). Хакер Eulerwhile вернул большую часть средств, вор Mango был арестован властями Соединенных Штатов.
