Il bridge token della piattaforma Meter Passport ha subito perdite per 4,4 milioni di dollari a causa di un hack dello smart contract, causando a Hundred Finance una perdita dal valore di 3,3 milioni di dollari a causa di prestiti sotto-collateralizzati.
Meter Passport di Meter.io (MTRG) è un bridge token compatibile con Ethereum e le sue sidechain. Questo attacco ha colpito il lato Moonriver del bridge. Moonriver è una piattaforma di smart contract basata sulla rete Kusama di Polkadot. Hundred Finance invece è una piattaforma di prestiti in crypto basata sul codice di Compound Finance.
Secondo una dichiarazione del 6 febbraio del team Meter, a partire dalle 15:00 (ora italiana) del 5 febbraio, durante diverse transazioni, circa 4,4 milioni di dollari in Binance Coin (BNB) e wETH sono stati coniati tramite minting attraverso un "presupposto di fiducia sbagliato" nel codice. In tal modo, una quantità arbitraria di ETH è stata depositata su Meter ed utilizzata dall'hacker per coniare i token sfruttando la vulnerabilità:
"Community, apprezziamo molto la pazienza e il supporto di tutti mentre lavoriamo per tornare operativi dopo l'exploit di questa mattina.
Abbiamo dettagliato tutto nel thread qui sotto:"
"1. Intorno alle 6 del mattino, ora del Pacifico, abbiamo identificato qualcuno che è stato in grado di sfruttare una vulnerabilità del bridge per coniare una grande quantità di token BNB e WETH, esaurendo la riserva del bridge per BNB su WETH."
1. Around 6am Pacific time we identified someone was able to leverage a vulnerability of the bridge to mint a large amount of BNB and WETH tokens and depleted the bridge reserve for BNB on WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
L'attacco ha causato un effetto a cascata in tutto l'ecosistema Moonriver basato su Kusama. Dopo aver prosciugato Meter delle sue riserve di BNB e wETH, l'assalitore ha venduto i BNB su SushiSwap, un popolare exchange decentralizzato. Questo ha portato ad un crollo del 77% del prezzo di BNB su Moonriver.
Un discreto numero di opportunisti ha poi approfittato del calo dei prezzi, acquistando BNB a buon mercato, usando i token come garanzia su Hundred Finance per ottenere prestiti in ETH, FRAX e MIM. A causa della discrepanza nel prezzo dei BNB, tuttavia, i loro prestiti valevano più del collaterale che avevano fornito, causando una crisi della fornitura.
2/4. Gli account sono stati in grado di acquistare BNB.bsc ad un prezzo ridotto ed utilizzare questi token come garanzia al prezzo globale Chainlink, per prendere in prestito asset non compromessi sulla nostra piattaforma. Tra questi, MIM e FRAX sono attualmente compromessi.
2/4. Accounts were able to purchase BNB.bsc at a reduced price and use these tokens as collateral at the global Chainlink price to borrow uncompromised assets on our platform. Of these, MIM and FRAX are currently impacted.
— Hundred Finance (@HundredFinance) February 6, 2022
Sorprendentemente, due prestiti sono stati rimborsati, lasciando 3,3 milioni di dollari di perdite a carico del protocollo Hundred. Il prestito in ETH è stato interamente restituito. Il team di Hundred ha cercato di raggiungere le parti coinvolte per chiedere loro di restituire i token BNB utilizzati come garanzia su Meter.
Il team di Meter si è impegnato a rimborsare la sua community e Hundred Finance per le perdite subite a causa dell'hack. Il 6 febbraio, il team ha dichiarato che aveva messo da parte 4,4 milioni di dollari in token MTRG per far fronte alle perdite iniziali.
Lo stesso giorno, "Vfat", lo pseudonimo fondatore di Hundred Finance, è intervenuto su Rekt News dichiarando che:
"Meter si è naturalmente assunto la responsabilità di questo hack e ha intenzione di utilizzare il suo token nativo per rimborsare nella misura in cui possono: attualmente siamo nella fase di raccolta di indirizzi e importi".
Correlato: Qubit Finance subisce un attacco hacker, perdite stimate a 80 milioni di dollari
PeckShield, società di sicurezza blockchain, ha stimato che in totale 1.391 ETH e 2,74 wBTC siano stati trafugati dall'hacker, inviati su Ethereum e successivamente "ripuliti" tramite Tornado Cash, uno strumento per anonimizzare le transazioni ETH.
Un rappresentante del team di Hundred Finance ha riferito a Cointelegraph che avrebbe aspettato circa un giorno prima di prendere provvedimenti per riaprire i mercati MIM e FRAX sul lato Moonriver della sua piattaforma. In risposta ad una domanda sulla sicurezza del bridge, il team di Hundred ha affermato:
"Speriamo che i bridge rafforzino la loro sicurezza e rendano la loro tecnologia più sicura. Per quanto ci riguarda saremo ancora più severi con gli asset e i bridge sulle nuove chain".
I dettagli iniziali dell'exploit del codice di Meter ricordano l'hacking di Wormhole del 3 febbraio, in cui 120.000 wETH (321 milioni di dollari) sono stati coniati ed estratti dalla piattaforma. In quell'episodio, l'hacker ha sfruttato un bug dello smart contract per coniare wETH a volontà e successivamente inviarli su Ethereum, per essere anch'essi sottoposti a Tornado Cash.