Op Arbitrum gebaseerde stablecoin werd gecompromitteerd door een goed georkestreerde slimme contractzwendel waardoor gebruikers ongeveer $ 2 miljoen van hun rekeningen verloren. CertiK meldde het voorval terwijl het reageerde op de tweet van Hope Finance die de klanten op de hoogte bracht van de zwendel.
Gebruikers verliezen geld aan weer een andere exploit
Potentiële gebruikers van het nieuw gelanceerde project Hope Token in januari zijn geweest schoongeveegd van meer dan $ 2 miljoen via een slim contractracket. Certik, een gerenommeerde web3-beveiligingsentiteit, benadrukte het evenement als reactie op een tweet van Hope Finance die zijn gebruikers waarschuwde voor het bedrog.
Hoewel de volledige details van het project niet volledig zijn onthuld, is het Twitter-account van het platform in januari 2023 van kracht geworden, met details over de aankomende algoritmische stablecoin genaamd Hoopteken (HOOP). Er wordt gezegd dat het token zijn hoeveelheid kan verfijnen in verhouding tot de prijs van Ether.
CertiK legde uit dat de oplichter een neprouter had ingezet tijdens de voorbereiding om te vertrekken door hoopfinanciering. De oplichter werkte vervolgens de SwapHelper bij om de dubieuze router te gebruiken om toegang te krijgen tot de interessante overdracht van de portemonnee en kreeg de goedkeuring van alle 3 de houders van de Hope-tokens.
De oplichter veranderde van het ruilen van tokens in het verzenden ervan als USDC naar een ander adres dat hij beheerde.
De Twitter-berichten van Hope Finance beweren dat de hacker van Nigeriaanse afkomst was en de meer dan $ 1.8 miljoen gestolen fondsen al had omgezet in TornadoCash.
De overdracht vond plaats vlak voor de lancering op 20 februari. De oplichter knoeide alleen met de details van het slimme contract om volledige toegang te krijgen tot de financiën in het ontstaansprotocol van Hope Finance.
Audit van de code door Cognitos
Volgens een tweet geplaatst op 13 februari gaf Hope Finance aan dat een medewerker van Cognitos het slimme contract had gecontroleerd. De vertegenwoordiger had markeerde twee belangrijke zwakheden in het slimme contract: re-entrancy-aanvallen en ongepaste modifiers.
Cognitos onthulde echter een succesvolle audit van de slimme contractcode, zelfs als de twee kwetsbaarheden werden waargenomen.
Om meer gebruikers tegen fraude te beschermen, heeft Hope Finance een andere manier aangekondigd waarop gebruikers hun geld van het systeem kunnen opnemen om meer gebruikers tegen fraude te beschermen. Bovendien is de beschikbaarheid van het Layer-2-protocol een remedie om dergelijke gevallen in het Ethereum-platform af te handelen.
De aanval komt na een ander slim contract manipulatie gebeurde in Ethereum Denver, wat leidde tot een verlies van meer dan $300,000.
Bron: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/