I potenziali utenti di un progetto di finanza decentralizzata (DeFi) basato su Arbitrum sono stati lasciati senza soldi a seguito di un exploit da 2 milioni di dollari.
La società di sicurezza Web3 CertiK ha segnalato l'incidente il 21 febbraio, a seguito di un annuncio dell'account Twitter di Hope Finance che informava gli utenti della truffa.
#CommunityAlert @hope_fin hanno annunciato che la comunità è stata truffata per ~ $ 2 milioni, rendendolo il più grande #escetruffa su Arbitrum nel 2023.
$ 1.86 milioni sono stati trasferiti a @TornadoCash.
Hope_fin ha pubblicato i passaggi per consentire agli utenti di ritirare i propri LP in stakehttps://t.co/hJbFXiKujt
— Avviso CertiK (@CertiKAlert) 21 Febbraio 2023
I dettagli del progetto sono difficili da ottenere. L'account Twitter della piattaforma è stato lanciato nel gennaio 2023 e ha delineato i piani per uno stablecoin algoritmico chiamato Hope token (HOPE), che regola dinamicamente la sua offerta rispetto al prezzo di Ether (ETH).
I post sull'account affermano che un cittadino nigeriano avrebbe eseguito la truffa e trasferito oltre 1.86 milioni di dollari a Tornado Cash poco dopo l'attivazione della piattaforma il 20 febbraio. Un membro del team di CertiK ha dichiarato a Cointelegraph che il truffatore aveva modificato i dettagli della smart contratto, che ha portato al drenaggio dei fondi dal protocollo di genesi di Hope Finance:
"Sembra che il truffatore abbia cambiato il contratto di TradingHelper, il che significa che quando 0x4481 chiama OpenTrade su GenesisRewardPool i fondi vengono trasferiti al truffatore."
Secondo un tweet del 13 febbraio, il contratto intelligente di Hope Finance è stato verificato da un funzionario di Cognitos. Cointelegrafo rivisto il riepilogo dell'audit, che ha segnalato due importanti vulnerabilità della funzione contrattuale.
Ciò includeva un modificatore errato e la possibilità di attacchi di rientro. Nonostante abbia segnalato queste vulnerabilità, Cognitos ha scoperto che il codice del contratto intelligente aveva superato con successo l'audit.
A seguito della truffa, Hope Finance ha condiviso le informazioni con gli utenti per ritirare la liquidità in stake dal protocollo attraverso una funzione di prelievo di emergenza.
Passaggi per ritirare il tuo LP in stake da questo fottuto protocollo di truffa
1. Vai su questo linkhttps://t.co/HjuvQyxbUX
2. collega il tuo portafoglio
3. clicca su prelievo di emergenzaImmettere 0000000000000000000000000000000000000000000000000000000000000002 pic.twitter.com/5RxtgKXgoo
— Hope Finance (,) (@Hope_fin) 21 Febbraio 2023
arbitrato è una rete di roll-up di livello 2 di Ethereum che consente il ridimensionamento esponenziale dei contratti intelligenti. Oltre all'ottimismo, i due protocolli di livello 2 continuano a farlo gestire una quantità crescente delle transazioni all'interno dell'ecosistema Ethereum.
Fonte: https://cointelegraph.com/news/hope-finance-exploit-results-in-2m-stolen-from-users-funds