多鏈借貸協議Hundred Finance 在以太坊第2 層區塊鏈Optimism 上遭遇重大安全漏洞。根據Twitter 上的協議,損失為740 萬美元。
百融 宣布 4 月15 日,該公司表示已經聯繫了黑客,並正在與多個安全團隊合作處理該事件。儘管該協議沒有透露攻擊是如何執行的,但區塊鏈安全公司Certik 指出這是一次閃貸攻擊:
#CertiKSkynetAlert @HundredFinance的攻擊者操縱了ERC-20 代幣和htokens 之間的匯率,這使得他們能夠提取比最初存入的更多的代幣。這次攻擊的估計損失約為740 萬美元。
保持警惕! https://t.co/1hxAnFoNjj
— CertiK 警報(@CertiKAlert) 2023 年4 月15 日
當黑客通過借貸協議的閃電貸(一種無抵押貸款)借入大量資金時,就會發生閃電貸攻擊。然後,黑客將其與其他技術相結合,以操縱某項資產的價格 去中心化金融(DeFi) 平台。
根據Certik 的說法,在Hundred 的案例中,攻擊者操縱了ERC-20 代幣和hTOKENS 之間的匯率,從而允許他們提取比最初存入的代幣更多的代幣。區塊鏈安全公司繼續說道:
“匯率公式是通過現金價值來操縱的。現金是hBTC合約擁有的WBTC數量。攻擊者通過向hToken合約捐贈大量WBTC來操縱它,從而使匯率上漲。”
Certik 表示,大筆貸款是在匯率被操縱的情況下提取的。百富財經正在準備一份關於該事件的事後分析報告。
這次攻擊發生在Hundred 被攻擊近12 個月之後 暴露於Gnosis 鏈上的另一個漏洞. 當時,黑客通過重入攻擊耗盡了協議的所有流動性。損失超過600 萬美元。在同一個漏洞中,黑客還從龍舌蘭協議中竊取了資金。
自去年以來,許多作惡者使用閃貸攻擊來攻擊DeFi 協議。最近的案例包括針對Euler Finance 的攻擊(1.96億美元) 和Mango Markets(4600 萬美元)。雖然歐拉的黑客 返還大部分資金,芒果的小偷已經 被美國當局逮捕.