Arbitrum-baseret stablecoin blev kompromitteret af et velorkestreret smart kontraktsvindel, hvilket førte til, at brugere mistede omkring $2 millioner fra deres konti. CertiK rapporterede hændelsen, mens hun reagerede på Hope Finances tweet, der advarede kunderne om fidusen.
Brugere mister penge til endnu en udnyttelse
Potentielle brugere af det nyligt lancerede projekt Hope Token i januar har været stryges rent på mere end 2 millioner dollars gennem en smart kontraktketcher. CertiK, en berømt web3-sikkerhedsenhed, fremhævede begivenheden som svar på et tweet fra Hope Finance, der advarede sine brugere om bedraget.
Selvom de fulde detaljer om projektet ikke er blevet afsløret fuldt ud, kom platformens Twitter-konto på plads i januar 2023 og giver detaljer om den kommende algoritmiske stablecoin med navnet Hope Token (HOPE). Tokenet siges at kunne finjustere sin mængde i forhold til Ethers pris.
CertiK forklarede, at svindleren installerede en falsk router under forberedelsen til at afslutte med håb om finansiering. Svindleren opdaterede derefter SwapHelper til at bruge den tvivlsomme router til at få adgang til tegnebogens interessante overførsel og fik godkendelse af alle de 3 indehavere af Hope-tokens.
Svindleren skiftede fra at bytte tokens til at sende dem som USDC til en anden adresse, han kontrollerede.
Twitter-indlæggene fra Hope Finance hævder, at hackeren var af nigeriansk oprindelse og allerede havde konverteret de mere end $1.8 millioner stjålne midler til Tornado kontanter.
Overførslen skete øjeblikke før dens lancering den 20. februar. Svindleren har kun pillet ved de smarte kontraktdetaljer for at få fuld adgang til økonomien i Hope Finances genesis-protokol.
Revision af koden af Cognitos
Ifølge en tweet indsendt den 13. februar indikerede Hope Finance, at en arbejder fra Cognitos reviderede den smarte kontrakt. Repræsentanten havde Markeret to hovedsvagheder i den smarte kontrakt: reentrancy-angreb og ukorrekte modifikatorer.
Cognitos afslørede dog en vellykket revision af den smarte kontraktkode, selvom de to sårbarheder var vidne til.
For at afbøde flere brugere fra svindel, annoncerede Hope Finance en anden måde, brugere kan bruge til at trække deres penge ud af systemet for at afbøde flere brugere fra svindel. Derudover er tilgængeligheden af lag-2-protokollen et middel til at håndtere sådanne sager i Ethereum-platformen.
Angrebet kommer efter endnu en smart kontrakt manipulation skete i Ethereum Denver, hvilket førte til et tab på mere end $300,000.
Kilde: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/