Arbitrum-basert stablecoin ble kompromittert av en godt orkestrert smart kontraktsvindel som førte til at brukere tapte rundt 2 millioner dollar fra kontoene sine. CertiK rapporterte om hendelsen mens han svarte på Hope Finances tweet som varslet kundene om svindelen.
Brukere taper penger på enda en utnyttelse
Potensielle brukere av det nylig lanserte prosjektet Hope Token i januar har vært sveipet rent på mer enn 2 millioner dollar gjennom en smart kontraktsracket. CertiK, en kjent web3-sikkerhetsenhet, fremhevet hendelsen som svar på en tweet fra Hope Finance som advarte brukerne om bedraget.
Selv om de fullstendige detaljene om prosjektet ikke er fullstendig avslørt, kom Twitter-kontoen til plattformen på plass i januar 2023, og ga detaljer om den kommende algoritmiske stablecoinen kalt Hope Token (HOPE). Tokenet sies å kunne finjustere kvantiteten i forhold til Ethers pris.
CertiK forklarte at svindleren brukte en falsk ruter under forberedelsene til å avslutte med håp finans. Svindleren oppdaterte deretter SwapHelper for å bruke den tvilsomme ruteren for å få tilgang til lommebokens interessante overføring og fikk godkjenning fra alle de 3 innehaverne av Hope-tokens.
Svindleren endret fra å bytte tokens til å sende dem som USDC til en annen adresse han kontrollerte.
Twitter-innleggene fra Hope Finance hevder at hackeren var av nigeriansk opprinnelse og allerede hadde konvertert de over 1.8 millioner dollar stjålne midlene til TornadoCash.
Overføringen skjedde øyeblikk før lanseringen den 20. februar. Svindleren tuklet bare med de smarte kontraktsdetaljene for å få full tilgang til økonomien i Genesis-protokollen til Hope Finance.
Revisjon av koden av Cognitos
I følge en tweet postet 13. februar indikerte Hope Finance at en arbeider fra Cognitos reviderte den smarte kontrakten. Representanten hadde flaggede to hovedsvakheter i den smarte kontrakten: reentrancy-angrep og upassende modifikatorer.
Imidlertid avslørte Cognitos en vellykket revisjon av den smarte kontraktskoden selv om de to sårbarhetene ble sett.
For å dempe flere brukere fra svindel, kunngjorde Hope Finance en annen måte brukere kan bruke for å ta ut pengene sine fra systemet for å dempe flere brukere fra svindel. I tillegg er tilgjengeligheten av lag-2-protokollen et middel for å håndtere slike saker i Ethereum-plattformen.
Angrepet kommer etter nok en smart kontrakt manipulering skjedde i Ethereum Denver, noe som førte til et tap på mer enn $300,000 XNUMX.
Kilde: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/