Hundred Finance, un protocollo di lending multichain, ha subito una significativa violazione di sicurezza sulla blockchain Optimism, layer-2 di Ethereum. Il protocollo ha twittato che le perdite ammontano a 7,4 milioni di dollari.

Hundred Finance ha annunciato l'exploit il 15 Aprile, affermando di aver contattato l'hacker e di essere al lavoro con diversi team di sicurezza per risolvere l'incidente. Sebbene il protocollo non abbia rivelato il modo in cui è stato eseguito l'attacco, CertiK, società di sicurezza blockchain, ha affermato che si tratta di un flash loan attack:

#CertiKSkynetAlert L'attaccante di @HundredFinance ha manipolato il tasso di cambio tra i token ERC-20 e gli htoken, consentendogli di ritirare più token di quelli originariamente depositati. Le perdite stimate di questo attacco sono di circa 7,4 milioni di dollari.

Rimanete vigili! https://t.co/1hxAnFoNjj

— CertiK Alert (@CertiKAlert) April 15, 2023

I flash loan sono attacchi in cui un hacker prende in prestito una grande quantità di fondi tramite un tipo di prestito non garantito da un protocollo di lending. Successivamente, l'hacker utilizza questi fondi per manipolare il prezzo di un asset su una piattaforma di finanza decentralizzata (DeFi). 

Nel caso di Hundred, l'aggressore ha manipolato il tasso di cambio tra i token ERC-20 e gli hTOKENS, consentendogli di ritirare più token di quelli originariamente depositati, secondo Certik. La società di sicurezza blockchain ha proseguito:

"La formula del tasso di cambio è stata manipolata attraverso il Cash value. Il Cash è la quantità di WBTC che il contratto hBTC possiede. L'aggressore l'ha manipolata donando grandi quantità di WBTC al contratto hToken in modo da far salire il tasso di cambio".

Certik afferma che sono stati concessi ingenti prestiti sotto l'effetto della manipolazione del tasso di cambio. Hundred Finance stava preparando un report post-mortem sull'incidente.

Questo attacco arriva quasi 12 mesi dopo che Hundred è stata esposta a un altro exploit sulla Gnosis Chain. In quell'occasione, l'hacker ha prosciugato tutta la liquidità del protocollo attraverso un attacco di reentrancy, sottraendo oltre 6 milioni di dollari. Nello stesso exploit, l'hacker ha sottratto fondi anche al protocollo Agave.

Dallo scorso anno, diversi pirati informatici hanno utilizzato attacchi di tipo flash loan per colpire i protocolli DeFi. Tra i casi più recenti vi sono gli attacchi contro Euler Finance (196 milioni di dollari) e Mango Markets (46 milioni di dollari). L'hacker di Eulerwhile ha restituito la maggior parte dei fondi, mentre il ladro di Mango è stato arrestato dalle autorità statunitensi.

Traduzione a cura di Matteo Carrone