Hundred Finance Pierde $7 Millones en Hack de Optimism
El protocolo de préstamos multicadena Hundred Finance ha experimentado una brecha de seguridad significativa en la cadena de bloques Ethereum layer-2 Optimism. Según el protocolo en Twitter, las pérdidas ascienden a $7.4 millones.
Hundred Finance anunció el exploit el 15 de abril, diciendo que había contactado al hacker y estaba trabajando con varios equipos de seguridad en el incidente. Aunque el protocolo no reveló cómo se ejecutó el ataque, la firma de seguridad blockchain Certik señaló que fue un ataque de préstamo flash:
Los ataques de préstamos flash tienen lugar cuando un hacker toma prestada una gran cantidad de fondos a través de un préstamo flash (un tipo de préstamo sin garantía) de un protocolo de préstamo. El hacker luego lo combina con otras técnicas para manipular el precio de un activo en una plataforma de finanzas descentralizadas (DeFi).
En el caso de Hundred, el atacante manipuló el tipo de cambio entre los tokens ERC-20 y los hTOKENS, lo que les permitió retirar más tokens de los depositados originalmente, según Certik. La firma de seguridad blockchain continuó:
«La fórmula del tipo de cambio fue manipulada a través del valor en efectivo. El efectivo es la cantidad de WBTC que tiene el contrato hBTC. El atacante lo manipuló donando grandes cantidades de WBTC al contrato hToken para que el tipo de cambio suba».
Certik dice que los grandes préstamos se tomaron bajo el tipo de cambio manipulado. Hundred Finance está preparando un informe postmortem sobre el incidente.
Este ataque se produce casi 12 meses después de que Hundred fuera expuesto a otro exploit en la Cadena Gnosis. En ese momento, el hacker drenó toda la liquidez del protocolo a través de un ataque de reentrada. Se perdieron más de 6 millones de dólares. En el mismo exploit, el hacker también robó fondos del protocolo Agave.
Desde el año pasado, varios perpetradores han utilizado ataques de préstamos flash para atacar los protocolos DeFi. Los casos recientes incluyen ataques contra Euler Finance ($196 millones) y Mango Markets ($46 millones). Mientras que el hack de Euler devolvió la mayor parte de los fondos, el ladrón de Mango ha sido arrestado por las autoridades de los Estados Unidos.
Pagina Original:
