Ang stablecoin na nakabatay sa Arbitrum ay nakompromiso ng isang mahusay na nakaayos na smart contract scam na humahantong sa mga user na nawalan ng humigit-kumulang $2 milyon mula sa kanilang mga account. Iniulat ng CertiK ang pangyayari habang tumutugon sa tweet ng Hope Finance na nag-aalerto sa mga customer ng scam.
Nawawalan ng pondo ang mga user sa isa pang pagsasamantala
Ang mga potensyal na gumagamit ng bagong inilunsad na proyektong Hope Token noong Enero ay naging nag-swipe ng malinis ng higit sa $2 milyon sa pamamagitan ng isang smart contract racket. CertiK, isang kilalang web3 security entity, ay itinampok ang kaganapan bilang tugon sa isang tweet ng Hope Finance na nagbabala sa mga gumagamit nito ng panlilinlang.
Bagaman ang buong detalye ng proyekto ay hindi pa ganap na inihayag, ang Twitter account ng platform ay naganap noong Enero 2023, na nagbibigay ng mga detalye ng paparating na algorithmic stablecoin na pinangalanang Hope Token (HOPE). Ang token ay sinasabing magagawang i-fine-tune ang dami nito kaugnay sa presyo ni Ether.
Ipinaliwanag ng CertiK na ang scammer ay nag-deploy ng isang pekeng router sa panahon ng paghahanda upang lumabas sa pamamagitan ng pag-asa finance. Pagkatapos ay in-update ng scammer ang SwapHelper para gamitin ang kahina-hinalang router para ma-access ang interesanteng paglipat ng wallet at nakuha ang pag-apruba ng lahat ng 3 may hawak ng Hope token.
Ang scammer ay nagbago mula sa pagpapalit ng mga token sa pagpapadala sa kanila bilang USDC sa isa pang address na kinokontrol niya.
Ang mga post sa Twitter ng Hope Finance ay nagsasabi na ang hacker ay nagmula sa Nigerian at na-convert na ang higit sa $1.8 milyon na mga ninakaw na pondo sa Buhawi Cash.
Naganap ang paglipat ilang sandali bago ito ilunsad noong Peb. 20. Pinakialaman lang ng scammer ang mga detalye ng matalinong kontrata para makakuha ng ganap na access sa mga pananalapi sa genesis protocol ng Hope Finance.
Pag-audit ng code ng Cognitos
Ayon sa isang tweet nai-post noong Peb. 13, ipinahiwatig ng Hope Finance na isang manggagawa mula sa Cognitos ang nag-audit sa matalinong kontrata. Ang kinatawan ay nagkaroon na-flag dalawang pangunahing kahinaan sa smart contract: reentrancy attacks at hindi tamang modifier.
Gayunpaman, inihayag ng Cognitos ang isang matagumpay na pag-audit ng smart contract code kahit na nasaksihan ang dalawang kahinaan.
Para sugpuin ang mas maraming user mula sa panloloko, inanunsyo ng Hope Finance ang ibang paraan na magagamit ng mga user para bawiin ang kanilang mga pondo mula sa system para pigilan ang mas maraming user mula sa panloloko. Bilang karagdagan, ang pagkakaroon ng layer-2 protocol ay isang remedyo upang mahawakan ang mga ganitong kaso sa Ethereum platform.
Ang pag-atake ay dumating pagkatapos ng isa pang matalinong kontrata pagpapatakbo nangyari sa Ethereum Denver, na humantong sa pagkawala ng higit sa $300,000.
Pinagmulan: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/