Stablecoin oparty na Arbitrum został naruszony przez dobrze zorganizowane oszustwo związane z inteligentnymi umowami, w wyniku którego użytkownicy stracili około 2 milionów dolarów ze swoich kont. CertiK zgłosił zdarzenie, odpowiadając na tweet Hope Finance ostrzegający klientów o oszustwie.
Użytkownicy tracą środki z powodu kolejnego exploita
Potencjalni użytkownicy nowo uruchomionego projektu Hope Token już w styczniu zostali wyczyszczone ponad 2 miliony dolarów w ramach inteligentnej rakiety kontraktowej. CertiK, renomowana firma zajmująca się bezpieczeństwem web3, zwróciła uwagę na to wydarzenie w odpowiedzi na tweet Hope Finance, ostrzegający użytkowników przed oszustwem.
Chociaż pełne szczegóły projektu nie zostały w pełni ujawnione, konto platformy na Twitterze zostało uruchomione w styczniu 2023 r., podając szczegóły nadchodzącego algorytmicznego stablecoina o nazwie Żeton nadziei (NADZIEJA). Mówi się, że token jest w stanie dostroić swoją ilość w stosunku do ceny Etheru.
CertiK wyjaśnił, że oszust wdrożył fałszywy router podczas przygotowań do wyjścia z Hope Finance. Następnie oszust zaktualizował SwapHelper, aby używał podejrzanego routera w celu uzyskania dostępu do interesującego transferu portfela i uzyskał zgodę wszystkich 3 posiadaczy tokenów Hope.
Oszust przeszedł od wymiany tokenów do wysyłania ich jako USDC na inny kontrolowany przez siebie adres.
Posty na Twitterze autorstwa Hope Finance twierdzą, że haker był pochodzenia nigeryjskiego i już zamienił skradzione fundusze o wartości ponad 1.8 miliona dolarów na Tornado Cash.
Transfer miał miejsce na chwilę przed jego uruchomieniem 20 lutego. Oszust tylko manipulował szczegółami inteligentnego kontraktu, aby uzyskać pełny dostęp do finansów w protokole Genesis Hope Finance.
Audyt kodu przez Cognitos
Według tweeta napisali 13 lutego firma Hope Finance poinformowała, że pracownik firmy Cognitos skontrolował inteligentną umowę. Przedstawiciel miał taflowy dwie główne słabości inteligentnego kontraktu: ataki typu reentrancy i niewłaściwe modyfikatory.
Jednak Cognitos ujawnił pomyślny audyt kodu inteligentnej umowy, nawet jeśli obserwowano dwie luki.
Aby chronić większą liczbę użytkowników przed oszustwami, firma Hope Finance ogłosiła inny sposób, w jaki użytkownicy mogą wypłacać swoje środki z systemu, aby chronić większą liczbę użytkowników przed oszustwami. Ponadto dostępność protokołu warstwy 2 jest remedium na obsługę takich przypadków na platformie Ethereum.
Atak następuje po kolejnym inteligentnym kontrakcie manipulacja miało miejsce w Ethereum Denver, co doprowadziło do straty w wysokości ponad 300,000 XNUMX USD.
Źródło: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/