アービトラムベースのステーブルコインが、巧妙に組織化されたスマートコントラクト詐欺によって侵害され、ユーザーの口座からおよそ200万ドルが失われました。CertiKは、Hope Financeが顧客に詐欺を警告したツイートに返信する中で、この事件を報告しました。

ユーザーはまた別の悪用により資金を失う

1月に新しく立ち上げられたプロジェクト「Hope Token」の潜在的ユーザーが、スマートコントラクト詐欺により200万ドル以上を盗まれた。有名なWeb3セキュリティ企業であるCertiKは、Hope Financeがユーザーに詐欺行為を警告するツイートに応えて、この事件を取り上げている。

#コミュニティアラート 🚨@hope_fin は、コミュニティが約 200 万ドルの詐欺に遭い、これが 2023 年の Arbitrum で最大の#exitscamになったと発表しました。186 万ドルが @TornadoCash に送金されました。Hope_fin は、ユーザーがステークした LP を引き出す手順を投稿しました https://t.co/hJbFXiKujt

— CertiK Alert (@CertiKAlert) 2023年2月21日

プロジェクトの全詳細は明らかにされていないが、プラットフォームのTwitterアカウントは2023年1月に開設され、Hope Token (HOPE)という名の近日登場のアルゴリズムステーブルコインの詳細を伝えている。このトークンは、イーサの価格に応じてその量を微調整できると言われている。

CertiKは、詐欺師がHope Financeの撤退準備中に偽のルーターを展開したと説明した。その後、詐欺師はSwapHelperを更新し、疑わしいルーターを使用してウォレットの興味深い転送にアクセスし、Hopeトークンの3人の所有者全員の承認を得た。

詐欺師はトークンの交換から、自分が管理する別のアドレスに USDC として送信する方法に変更しました。

#CertiKSkynetAlert 🚨1\ @hope_fin#exit詐欺に備えて、偽のルーターが txn 0xf188 に導入されました。その後、SwapHelper は、この偽のルーターを txn 0xc9ee で使用するように更新されました。この txn は、Hope のマルチシグ 0x8ebd の 3 人の所有者全員によって承認されました。pic.twitter.com/Qpxa2f6d6b

— CertiK Alert (@CertiKAlert) 2023年2月21日

ホープ・ファイナンスのツイッター投稿によると、ハッカーはナイジェリア出身で、すでに180万ドル以上の盗んだ資金をトルネード・キャッシュに換金していたという。

この送金は2月20日のローンチ直前に行われた。詐欺師は、Hope Financeのジェネシスプロトコルの資金に完全にアクセスするために、スマートコントラクトの詳細を改ざんしただけだった。

クソ詐欺師！コミュニティから200万ドルを騙し取ったぞ pic.twitter.com/F3AWKpqZfD

— ホープ・ファイナンス（💙、🧡）（@Hope_fin）2023年2月20日

Cognitosによるコードの監査

2月13日に投稿されたツイートによると、Hope FinanceはCognitosの作業員がスマートコントラクトを監査したと述べている。担当者はスマートコントラクトの2つの主な弱点、再入攻撃と不適切な修飾子を指摘した。

しかし、Cognitos は、2 つの脆弱性が発見されたにもかかわらず、スマート コントラクト コードの監査が成功したことを明らかにしました。

より多くのユーザーを詐欺から守るために、Hope Finance は、ユーザーがシステムから資金を引き出すために使用できる別の方法を発表しました。さらに、レイヤー 2 プロトコルが利用可能であることは、イーサリアム プラットフォームでこのようなケースを処理するための対策です。

このクソ詐欺プロトコルからステークした LP を引き出す手順 1. このリンクにアクセスします https://t.co/HjuvQyxbUX 2. ウォレットを接続します 3. 緊急引き出しをクリックします 00000000000000000000000000000000000000000000000000000000000000000000000000000002 と入力します pic.twitter.com/5RxtgKXgoo

— ホープ・ファイナンス（💙,🧡）（@Hope_fin）2023年2月21日

この攻撃は、イーサリアム・デンバーで別のスマートコントラクト操作が発生し、30万ドル以上の損失が発生した後に発生しました。