Protocol Hundred Finance の提供で 740 万ドルの楽観主義セキュリティ侵害の被害に遭う

破壊的な攻撃者は、暗号通貨関連企業で見つかった脆弱性を利用して収益を上げ続けています。仮想通貨の貸し借りを可能にする分散型アプリケーション (dApp) であるハンドレッド ファイナンスが、イーサリアム レイヤ 2 ブロックチェーン オプティミズム セキュリティ侵害を通じて実行されたセキュリティ侵害に遭いました。
同社は 4 月 15 日に Twitter を通じてこの攻撃について最初に消費者に警告しました。
わかりましたか?より賢くなりたいという願望暗号通貨で裕福になりましたか?購読 – 新しい暗号解説ビデオを毎週リリースします!

一連のツイートの中でハンドレッド・ファイナンスは利用の背後にある理由を明らかにしなかったが、ブロックチェーン・セキュリティ会社CertiKが支援に加わったことは留意に値する。同社は、ハッカーが分散型金融(DeFi)プラットフォーム上で所有価格を操作する手順を提供することで無担保ローンを引き出すフラッシュローン攻撃を悪用したと主張している。 Hundred Finance への攻撃には、ERC-20 トークンと hTOKENS の間の為替レートの操作が含まれており、これによりハッカーは最初に入金したときよりも多くのトークンを引き出すことができました。 CertiK は次のようにハッキングについてさらに詳しく説明しました。
為替レートの計算式は現金価値によって制御されました。現金は、hBTC 契約が持つ WBTC の金額です。攻撃者は、為替レートが上昇するように、hToken 契約に多額の WBTC を寄付することでこれを操作しました。
CertiK がこのエクスプロイトに対する見解を共有してから間もなく、Hundred Finance はコミュニティに「攻撃がどのように実行されたかについて推測しないように」と忠告するツイートを共有しました。議定書は、「チームは事後調査の準備を進めている」と主張した。
さらに、この企業は問題を解決するために複数のセキュリティチームと対応している間にハッカーと連絡を取ったと発表した。この攻撃は、ほぼ 1 年前に行われた Gnosis チェーン上での同様の Hundred Finance エクスプロイトに続くもので、プロトコルはリエントランシー攻撃により 600 万ドル以上を失いました。同じ攻撃者は、その悪用を通じてリュウゼツラン プロトコルから資金を奪うことも行いました。
DeFi手続きをターゲットにしたフラッシュローン攻撃は、実際に非常に一般的になりました。重要な例としては、1億9,600万ドルを失ったオイラー・ファイナンスや、4,600万ドルを失ったマンゴー・マーケッツなどが挙げられる。オイラー・ファイナンス攻撃の犯人ハッカーは盗まれた資金の大半を返還したが、米国当局はマンゴー・マーケットの窃盗犯を拘束した。 Gile K.著 – BitDegree、暗号アナリスト