Podvodník ukradl 2 miliony dolarů uživatelských prostředků z Hope Finance

Stabilní coiny založené na arbitráži byly kompromitovány dobře organizovaným podvodem s inteligentní smlouvou, který vedl k tomu, že uživatelé přišli o zhruba 2 miliony dolarů ze svých účtů. CertiK nahlásil výskyt v reakci na tweet Hope Finance, který zákazníky na podvod upozornil.
Uživatelé přijdou o finanční prostředky kvůli dalšímu zneužití
Potenciální uživatelé nově spuštěného projektu Hope Token v lednu byli zbaveni více než 2 milionů dolarů prostřednictvím chytré smlouvy. CertiK, renomovaný web3 bezpečnostní subjekt, upozornil na událost v reakci na tweet společnosti Hope Finance varující své uživatele před podvodem.
#CommunityAlert 🚨@hope_fin oznámili, že komunita byla podvedena za ~2 miliony dolarů, což z toho dělá největší#exitscamna Arbitrum v roce 2023. 1,86 milionů $ bylo převedeno na @TornadoCash.Hope_fin zveřejnili kroky, jak uživatelé mohou stáhnout své vsazené LPhttps://t .co/hJbFXiKujt
— Upozornění CertiK (@CertiKAlert) 21. února 2023
Přestože úplné detaily projektu nebyly úplně odhaleny, Twitter účet platformy byl zřízen v lednu 2023 a poskytuje podrobnosti o nadcházejícím algoritmickém stablecoinu s názvem Hope Token (HOPE). Token prý dokáže vyladit své množství ve vztahu k ceně Etheru.
CertiK vysvětlil, že podvodník nasadil falešný router během přípravy na ukončení Hope finance. Podvodník poté aktualizoval SwapHelper, aby použil pochybný router k přístupu k zajímavému převodu peněženky a získal souhlas všech 3 držitelů tokenů naděje.
Podvodník přešel z výměny tokenů na jejich zasílání jako USDC na jinou adresu, kterou ovládal.
#CertiKSkynetAlert 🚨1\ V rámci přípravy na podvod @hope_fin#exitbyl v txn 0xf188 nasazen falešný router. SwapHelper byl poté aktualizován, aby používal tento falešný router v txn 0xc9ee. Tento txn byl schválen všemi 3 majiteli Hope’s multisig 0x8ebd. pic.twitter.com/Qpxa2f6d6b
— Upozornění CertiK (@CertiKAlert) 21. února 2023
Twitter příspěvky Hope Finance tvrdí, že hacker byl nigerijského původu a již převedl více než 1,8 milionu dolarů ukradených peněz na Tornado Cash.
K převodu došlo chvíli před jeho spuštěním 20. února. Podvodník pouze manipuloval s podrobnostmi inteligentní smlouvy, aby získal plný přístup k financím v protokolu genesis Hope Finance.
ZKURVANÝ PODVODNÍK!!!! PODVODIL KOMUNITU ZA 2 MLN DOLARY pic.twitter.com/F3AWKpqZfD
— Hope Finance (💙,🧡) (@Hope_fin) 20. února 2023
Audit kódu společností Cognitos
Podle tweetu zveřejněného 13. února společnost Hope Finance uvedla, že pracovník z Cognitos provedl audit chytré smlouvy. Zástupce označil dvě hlavní slabiny chytré smlouvy: reentrancy útoky a nevhodné modifikátory.
Společnost Cognitos však odhalila úspěšný audit kódu inteligentní smlouvy, i když byly svědky těchto dvou zranitelností.
Aby se zabránilo podvodům více uživatelů, společnost Hope Finance oznámila jiný způsob, jak mohou uživatelé vybrat své finanční prostředky ze systému, aby zmírnili více uživatelů před podvody. Kromě toho je dostupnost protokolu vrstvy 2 nápravou pro řešení takových případů na platformě Ethereum.
Kroky ke stažení vašeho vsazeného LP z tohoto zasraného podvodného protokolu1. Přejděte na tento odkaz https://t.co/HjuvQyxbUX2. připojte svou peněženku 3. klikněte na nouzový výběrZadejte 0000000000000000000000000000000000000000000000000000000000002 pic.twitter.com/5RxtgKXgoo
— Hope Finance (💙,🧡) (@Hope_fin) 21. února 2023
Útok přichází poté, co v Ethereum Denver došlo k další chytré manipulaci s kontrakty, která vedla ke ztrátě více než 300 000 $.