Un escroc vole 2 millions de dollars de fonds d'utilisateurs à Hope Finance

Le stablecoin basé sur Arbitrum a été compromis par une arnaque aux contrats intelligents bien orchestrée, entraînant la perte d'environ 2 millions de dollars sur les comptes des utilisateurs. CertiK a signalé l'incident en répondant au tweet de Hope Finance alertant les clients de l'arnaque.
Les utilisateurs perdent des fonds à cause d'un autre exploit
Les utilisateurs potentiels du projet Hope Token, lancé en janvier, se sont fait voler plus de 2 millions de dollars par le biais d'un racket de contrats intelligents. CertiK, une entité de sécurité Web3 réputée, a souligné l'événement en réponse à un tweet de Hope Finance avertissant ses utilisateurs de la tromperie.
#CommunityAlert 🚨@hope_fin a annoncé que la communauté a été escroquée pour environ 2 millions de dollars, ce qui en fait la plus grande#escroquerieà la sortie sur Arbitrum en 2023. 1,86 million de dollars ont été transférés à @TornadoCash. Hope_fin a publié les étapes permettant aux utilisateurs de retirer leur LP jalonné https://t.co/hJbFXiKujt
— CertiK Alert (@CertiKAlert) 21 février 2023
Bien que les détails complets du projet n'aient pas encore été dévoilés, le compte Twitter de la plateforme, créé en janvier 2023, présente le futur stablecoin algorithmique appelé Hope Token (HOPE). Ce jeton serait capable d'ajuster sa quantité en fonction du cours de l'Ether.
CertiK a expliqué que l'escroc avait déployé un faux routeur lors de la préparation de la sortie de Hope Finance. Il a ensuite mis à jour SwapHelper pour utiliser le routeur douteux afin d'accéder au transfert intéressant du portefeuille et a obtenu l'approbation des trois détenteurs de jetons Hope.
L'escroc est passé de l'échange de jetons à leur envoi sous forme d'USDC à une autre adresse qu'il contrôlait.
#CertiKSkynetAlert 🚨1\ En prévision de l'arnaque à la sortie de @hope_fin, un faux routeur a été déployé dans la transaction 0xf188. SwapHelper a ensuite été mis à jour pour utiliser ce faux routeur dans la transaction 0xc9ee. Cette transaction a été approuvée par les trois propriétaires du multisig 0x8ebd de Hope. pic.twitter.com/Qpxa2f6d6b
— CertiK Alert (@CertiKAlert) 21 février 2023
Les publications Twitter de Hope Finance affirment que le pirate informatique était d'origine nigériane et avait déjà converti les plus de 1,8 million de dollars de fonds volés en Tornado Cash.
Le transfert a eu lieu quelques instants avant son lancement le 20 février. L'escroc a simplement falsifié les détails du contrat intelligent pour obtenir un accès complet aux finances du protocole Genesis de Hope Finance.
Putain d'arnaqueur ! Il a escroqué la communauté pour 2 millions de dollars.
— Hope Finance (💙,🧡) (@Hope_fin) 20 février 2023
Audit du code par Cognitos
Selon un tweet publié le 13 février, Hope Finance a indiqué qu'un employé de Cognitos avait audité le contrat intelligent. Ce représentant avait identifié deux faiblesses principales : des attaques par réentrée et des modificateurs inappropriés.
Cependant, Cognitos a révélé un audit réussi du code du contrat intelligent même si les deux vulnérabilités ont été constatées.
Afin de protéger davantage d'utilisateurs contre la fraude, Hope Finance a annoncé une nouvelle méthode permettant aux utilisateurs de retirer leurs fonds du système. De plus, la disponibilité du protocole de couche 2 permet de gérer ces cas sur la plateforme Ethereum.
Étapes pour retirer vos LP mis en jeu suite à ce protocole frauduleux : 1. Cliquez sur ce lien : https://t.co/HjuvQyxbUX 2. Connectez votre portefeuille 3. Cliquez sur « Retrait d'urgence » Saisissez : 0000000000000000000000000000000000000000000000000000000000000000002 pic.twitter.com/5RxtgKXgoo
— Hope Finance (💙,🧡) (@Hope_fin) 21 février 2023
L'attaque survient après qu'une autre manipulation de contrat intelligent s'est produite dans Ethereum Denver, entraînant une perte de plus de 300 000 $.