Protokol pinjaman multichain Hundred Finance mengalami pelanggaran keamanan yang signifikan pada optimisme blockchain Ethereum layer 2. Menurut protokol di Twitter, kerugian mencapai 7,4 juta dolar.
Seratus keuangan diumumkan exploit pada 15 April, menyatakan bahwa mereka menghubungi peretas dan menangani insiden tersebut dengan berbagai tim keamanan. Meskipun protokol tidak mengungkapkan bagaimana serangan itu dilakukan, perusahaan keamanan blockchain Certik mencatat bahwa itu adalah serangan flash-lending:
#CertiKSkynetAlert @HundredFinancePenyerang memanipulasi nilai tukar antara token ERC-20 dan htoken, yang memungkinkan mereka untuk menarik lebih banyak token daripada yang semula mereka setorkan. Perkiraan kerugian dari serangan ini adalah sekitar $7,4 juta.
Tetap waspada! https://t.co/1hxAnFoNjj
— CertiK Alert (@CertiKAlert) 15 April 2023
Serangan flash loan terjadi saat peretas meminjam dana dalam jumlah besar melalui flash loan (sejenis pinjaman tanpa jaminan) dari protokol peminjaman. Peretas kemudian menggabungkan ini dengan teknik lain untuk memanipulasi harga aset pada a keuangan terdesentralisasi (DeFi) platform.
Dalam kasus Hundred, penyerang memanipulasi nilai tukar antara token ERC-20 dan hTOKENS, memungkinkan mereka untuk menarik lebih banyak token daripada yang awalnya mereka setorkan, menurut Certik. Perusahaan keamanan blockchain melanjutkan:
“Rumus nilai tukar dimanipulasi melalui nilai tunai. Uang tunai adalah jumlah WBTC yang dimiliki kontrak hBTC. Penyerang memanipulasi ini dengan menyumbangkan WBTC dalam jumlah besar ke kontrak hToken sehingga perubahan nilai tukar meningkat.”
Certik mengatakan pinjaman besar telah diambil dengan nilai tukar yang dimanipulasi. Hundred Finance sedang menyiapkan laporan post-mortem tentang kecelakaan itu.
Serangan ini terjadi hampir 12 bulan setelah Seratus terkena eksploit lain di Gnosis Chain. Pada saat itu, peretas menghabiskan semua likuiditas dari protokol melalui serangan masuk kembali. Lebih dari $ 6 juta hilang. Dalam eksploit yang sama, peretas juga mencuri dana dari protokol Agave.
Sejak tahun lalu, sejumlah pelaku menggunakan serangan flash lending untuk menyasar protokol DeFi. Kasus terbaru termasuk serangan terhadap Euler Finance (196 juta dolar) dan Mango Markets ($46 juta). Sementara peretasan Euler mengembalikan sebagian besar danapencuri mangga itu ditangkap otoritas AS.
Majalah: Haruskah Proyek Crypto Bernegosiasi Dengan Peretas? Mungkin