Мошенник украл 2 миллиона долларов средств пользователей у Hope Finance

Стейблкоин, основанный на Arbitrum, был скомпрометирован в результате хорошо организованного мошенничества со смарт-контрактами, в результате чего пользователи потеряли около 2 миллионов долларов со своих счетов. CertiK сообщила об этом, отвечая на твит Hope Finance, предупреждающего клиентов о мошенничестве.
Пользователи теряют средства из-за очередного эксплойта
Потенциальные пользователи недавно запущенного проекта Hope Token в январе украли более 2 миллионов долларов с помощью рэкета смарт-контрактов. CertiK, известная организация по обеспечению безопасности Web3, сообщила об этом событии в ответ на твит Hope Finance, предупреждающего своих пользователей об обмане.
#CommunityAlert 🚨@hope_fin объявили, что сообщество было обмануто на ~ 2 миллиона долларов, что сделало это крупнейшей#exitscamна Arbitrum в 2023 году. 1,86 миллиона долларов были переведены на @TornadoCash. Hope_fin опубликовали инструкции, которые помогут пользователям вывести свои поставленные LPhttps://t .co/hJbFXiKujt
– Оповещение CertiK (@CertiKAlert) 21 февраля 2023 г.
Хотя полные детали проекта не были полностью раскрыты, в январе 2023 года появился аккаунт платформы в Твиттере, в котором содержится подробная информация о предстоящем алгоритмическом стейблкоине под названием Hope Token (HOPE). Говорят, что токен способен точно настраивать свое количество в зависимости от цены Эфира.
CertiK пояснила, что мошенник использовал поддельный маршрутизатор во время подготовки к выходу, надеясь на финансы. Затем мошенник обновил SwapHelper, чтобы использовать сомнительный маршрутизатор для доступа к интересующей передаче кошелька, и получил одобрение всех трех держателей токенов Hope.
Мошенник перешел от обмена токенов к отправке их в виде USDC на другой адрес, который он контролировал.
#CertiKSkynetAlert 🚨1\ В рамках подготовки к мошенничеству @hope_fin#exitв txn 0xf188 был развернут поддельный маршрутизатор. Затем SwapHelper был обновлен для использования этого поддельного маршрутизатора в txn 0xc9ee. Этот txn был одобрен всеми тремя владельцами мультиподписи Hope 0x8ebd. pic.twitter.com/Qpxa2f6d6b
– Оповещение CertiK (@CertiKAlert) 21 февраля 2023 г.
В сообщениях Hope Finance в Твиттере утверждается, что хакер был нигерийского происхождения и уже конвертировал украденные средства на сумму более 1,8 миллиона долларов в Tornado Cash.
Передача произошла за несколько минут до ее запуска 20 февраля. Мошенник лишь подделал детали смарт-контракта, чтобы получить полный доступ к финансам в протоколе генезиса Hope Finance.
ГРЕБНЫЙ МОШЕННИК!!!! ОН ОБМАНУЛ СООБЩЕСТВО НА 2 МЛН ДОЛЛАРОВ pic.twitter.com/F3AWKpqZfD
– Хоуп Финанс (💙,🧡) (@Hope_fin) 20 февраля 2023 г.
Аудит кода Cognitos
Согласно твиту, опубликованному 13 февраля, Hope Finance указала, что сотрудник Cognitos проверял смарт-контракт. Представитель отметил два основных недостатка смарт-контракта: повторные атаки и неправильные модификаторы.
Тем не менее, Cognitos обнаружила успешный аудит кода смарт-контракта, даже если были обнаружены две уязвимости.
Чтобы защитить больше пользователей от мошенничества, Hope Finance объявила о другом способе, который пользователи могут использовать для вывода своих средств из системы, чтобы защитить больше пользователей от мошенничества. Кроме того, наличие протокола уровня 2 является средством решения таких случаев на платформе Ethereum.
Как вывести вашу поставленную на ставку LP из протокола этого чертового мошенничества1. Перейдите по этой ссылке https://t.co/HjuvQyxbUX2. подключите свой кошелек3. нажмите на экстренный вывод средств. Введите 0000000000000000000000000000000000000000000000000000000000000002 pic.twitter.com/5RxtgKXgoo
— Хоуп Финанс (💙,🧡) (@Hope_fin) 21 февраля 2023 г.
Атака произошла после того, как в Ethereum Denver произошла еще одна манипуляция со смарт-контрактами, которая привела к потере более 300 000 долларов.