Betrüger stiehlt 2 Millionen US-Dollar Benutzergelder von Hope Finance

Der auf Arbitrum basierende Stablecoin wurde durch einen gut orchestrierten Smart-Contract-Betrug kompromittiert, was dazu führte, dass Benutzer etwa 2 Millionen Dollar von ihren Konten verloren. CertiK meldete den Vorfall als Reaktion auf den Tweet von Hope Finance, der die Kunden vor dem Betrug warnte.
Benutzer verlieren Geld durch einen weiteren Exploit
Potenzielle Nutzer des im Januar neu gestarteten Projekts Hope Token wurden durch einen Smart-Contract-Betrug um mehr als 2 Millionen Dollar betrogen. CertiK, ein renommiertes Web3-Sicherheitsunternehmen, hat auf den Vorfall reagiert, nachdem Hope Finance seine Nutzer auf einen Tweet aufmerksam gemacht hatte, in dem es vor dem Betrug warnte.
#CommunityAlert 🚨@hope_fin hat bekannt gegeben, dass die Community um ca. 2 Mio. $ betrogen wurde, was dies zum größten#Exitscamauf Arbitrum im Jahr 2023 macht. 1,86 Mio. $ wurden an @TornadoCash überwiesen.Hope_fin hat Schritte veröffentlicht, mit denen Benutzer ihre eingesetzten LPs abheben können https://t.co/hJbFXiKujt
— CertiK Alert (@CertiKAlert) 21. Februar 2023
Obwohl die vollständigen Projektdetails noch nicht vollständig bekannt sind, wurde der Twitter-Account der Plattform im Januar 2023 eingerichtet und gab Details zum kommenden algorithmischen Stablecoin namens Hope Token (HOPE) bekannt. Der Token soll seine Menge im Verhältnis zum Ether-Preis feinabstimmen können.
CertiK erklärte, dass der Betrüger während der Vorbereitungen zum Ausstieg von Hope Finance einen gefälschten Router eingesetzt habe. Anschließend aktualisierte er den SwapHelper, um über den fragwürdigen Router auf die interessante Überweisung des Wallets zuzugreifen und erhielt die Zustimmung aller drei Hope-Token-Inhaber.
Der Betrüger wechselte vom Token-Austausch dazu, sie als USDC an eine andere Adresse zu senden, die er kontrollierte.
#CertiKSkynetAlert 🚨1\ In Vorbereitung auf den @hope_fin #exit-Betrug wurde ein gefälschter Router in Transaktion 0xf188 eingesetzt. Der SwapHelper wurde anschließend aktualisiert, um diesen gefälschten Router in Transaktion 0xc9ee zu verwenden. Diese Transaktion wurde von allen drei Eigentümern von Hopes Multisig 0x8ebd genehmigt. pic.twitter.com/Qpxa2f6d6b
— CertiK Alert (@CertiKAlert) 21. Februar 2023
In den Twitter-Posts von Hope Finance wird behauptet, der Hacker sei nigerianischer Herkunft und habe die gestohlenen Gelder im Wert von über 1,8 Millionen US-Dollar bereits in Tornado Cash umgewandelt.
Die Überweisung erfolgte kurz vor dem Start am 20. Februar. Der Betrüger manipulierte lediglich die Details des Smart Contracts, um vollen Zugriff auf die Finanzen im Genesis-Protokoll von Hope Finance zu erhalten.
VERDAMMTER BETRÜGER!!!! ER HAT DIE COMMUNITY UM 2 MILLIONEN DOLLAR BETROGEN pic.twitter.com/F3AWKpqZfD
— Hope Finance (💙,🧡) (@Hope_fin) 20. Februar 2023
Audit des Codes durch Cognitos 
Laut einem Tweet vom 13. Februar gab Hope Finance an, dass ein Mitarbeiter von Cognitos den Smart Contract geprüft habe. Der Vertreter hatte zwei Hauptschwächen im Smart Contract festgestellt: Reentrancy-Angriffe und unzulässige Modifikatoren.
Cognitos gab jedoch bekannt, dass die Prüfung des Smart-Contract-Codes erfolgreich war, obwohl die beiden Schwachstellen festgestellt wurden.
Um mehr Nutzer vor Betrug zu schützen, hat Hope Finance eine neue Möglichkeit angekündigt, ihre Gelder aus dem System abzuheben. Darüber hinaus bietet die Verfügbarkeit des Layer-2-Protokolls Abhilfe bei solchen Fällen auf der Ethereum-Plattform.
Schritte zum Abheben Ihres eingesetzten LP aus diesem verdammten Betrugsprotokoll1. Gehen Sie auf diesen Linkhttps://t.co/HjuvQyxbUX2. Verbinden Sie Ihr Wallet3. Klicken Sie auf „Notfallabhebung“. Geben Sie 00000000000000000000000000000000000000000000000000000000000000000000000000002 ein. pic.twitter.com/5RxtgKXgoo
— Hope Finance (💙,🧡) (@Hope_fin) 21. Februar 2023
Der Angriff erfolgte, nachdem es bei Ethereum Denver zu einer weiteren Manipulation eines Smart Contracts gekommen war, die zu einem Verlust von über 300.000 $ führte.