Moneda stabilă bazată pe Arbitrum a fost compromisă de o înșelătorie de contract inteligent bine orchestrată, care a dus la pierderea utilizatorilor de aproximativ 2 milioane de dolari din conturile lor. CertiK a raportat evenimentul în timp ce răspundea la tweetul Hope Finance care avertizează clienții cu privire la înșelătorie.
Utilizatorii pierd fonduri din cauza unui alt exploit
Utilizatorii potențiali ai noului proiect Hope Token, lansat în ianuarie, au fost curățat de peste 2 milioane de dolari printr-o rachetă de contracte inteligente. CertiK, o entitate renumită de securitate web3, a evidențiat evenimentul ca răspuns la un tweet al Hope Finance în care își avertizează utilizatorii cu privire la înșelăciune.
Deși detaliile complete ale proiectului nu au fost dezvăluite pe deplin, contul de Twitter al platformei a intrat în vigoare în ianuarie 2023, oferind detalii despre viitoarea monedă stabilă algoritmică numită Jeton Speranță (Speranță). Se spune că tokenul poate să-și ajusteze cantitatea în raport cu prețul Ether.
CertiK a explicat că escrocul a desfășurat un router fals în timpul pregătirii pentru a ieși din speranța financiară. Escrocul a actualizat apoi SwapHelper pentru a folosi routerul dubios pentru a accesa transferul interesant al portofelului și a obținut aprobarea tuturor celor 3 deținători ai jetoanelor Hope.
Escrocul a trecut de la schimbarea jetoanelor la trimiterea lor ca USDC la o altă adresă controlată de el.
Postările pe Twitter de la Hope Finance susțin că hackerul era de origine nigeriană și a transformat deja fondurile furate de peste 1.8 milioane de dolari în TornadoCash.
Transferul a avut loc cu câteva momente înainte de lansarea sa pe 20 februarie. Escrocul a modificat doar detaliile contractului inteligent pentru a obține acces deplin la finanțele din protocolul de geneză al Hope Finance.
Auditul codului de către Cognitos
Conform unui tweet postat pe 13 februarie, Hope Finance a indicat că un lucrător de la Cognitos a auditat contractul inteligent. Reprezentantul a avut fanionat două puncte slabe principale ale contractului inteligent: atacurile de reintrare și modificatorii nepotriviți.
Cu toate acestea, Cognitos a dezvăluit un audit de succes al codului de contract inteligent, chiar dacă cele două vulnerabilități au fost observate.
Pentru a proteja mai mulți utilizatori de fraudă, Hope Finance a anunțat un mod diferit pe care utilizatorii îl pot folosi pentru a-și retrage fondurile din sistem pentru a proteja mai mulți utilizatori de fraudă. În plus, disponibilitatea protocolului layer-2 este un remediu pentru a gestiona astfel de cazuri în platforma Ethereum.
Atacul vine după un alt contract inteligent manipulare s-a întâmplat în Ethereum Denver, ducând la o pierdere de peste 300,000 USD.
Sursa: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/