骗子,当你持有我们时——每周,甚至每天,去中心化金融 (DeFi) 协议都会成为攻击或诈骗的受害者。 代码中的缺陷,与基金一起离开的开发人员:案例很多。 今天,希望金融协议在经历了一番风波后成为人们关注的焦点。
希望金融亏损200万美元
希望金融是一个扼杀在萌芽状态的项目。 事实上,这个本应在 Arbitrum 第 2 层提供算法稳定币的项目是一个骗局的受害者。
Hope Finance 原定于 2 月 20 日在 Arbitrum 首播。 根据该项目的 Twitter 帐户,发射在下午 3 点左右顺利进行。 很快,许多用户将资金存入该平台。
然而,在发布后不到两个小时,该协议就在 Twitter 上宣布,一名骗子盗走了 180 万美元:
“**ck骗子 他骗取了社区 200 万美元”
在 Twitter 上发布的公告还附有一张诈骗者与他的身份证合影的照片。 后者可能已被修改以执行虚假的 KYC。 资金不翼而飞后,希望财经此次发布新消息,向用户说明如何使用紧急提现功能。
Hope Finance解释了如何使用紧急取款功能——来源:推特希望财经团队的骗子?
尽管有关此案的细节仍不明朗,但我们似乎遇到了麻烦。 根据 Certik 公司汇编的信息,攻击实际上来自该协议的成员。
据称,攻击者最初部署了一个虚假的 Router 智能合约。 然后他更新了“SwapHelper”合约以使用之前部署的假路由器。 该操作由协议团队执行。 实际上,组成 Hope 多重签名的密钥的 3 个持有者签署了交易。
此外,“_swapExactTokenForTokens”变量已被修改为指向诈骗者的钱包地址。 因此,当在协议上进行 USDC 贷款时,将要转换的 WETH 转移到 TradingHelper 合约以转换为 USDC。 然而,经过攻击者的修改,合约实际上将资金发送到了黑客的钱包中。
总的来说,攻击者能够窃取大约 80 万美元的 WETH 和 100 万美元的 USDC。 不过,骗子在项目中所处的位置尚不清楚。 不出所料,攻击者迅速通过 Tornado Cash 协议转移资金以掩盖他的踪迹。
审计结果被协议忽略
不幸的是,希望金融遇到的这种情况并没有那么令人意外。 事实上,构成该协议的各种合约似乎远非完美。
事实上,Cognitos 公司在 2 月 7 日发布的关于 Hope Finance 合约的审计报告了几个漏洞,其中包括 2 个主要漏洞。 合约有一个漏洞,特别是允许重入攻击。
Cognitos 执行的审计结果。而且,根据攻击发生后Cognitos透露的信息,Hope Finance的团队似乎没有考虑审计结果。 在审计后代码经历的 4 次往返中,只有 10% 的突出漏洞得到了纠正。
不幸的是,如果 dApp 开发人员继续忽视审计结果,生态系统将遭受更多黑客攻击。 目前,许多专家认为 2023 年对于 DeFi 黑客来说可能比 2022 年血腥得多。
远离海市蜃楼,通过专注于你的加密货币策略来解决具体问题 迈出第一步的理想之选,eToro 平台正等着你(商业链接)。
文章 200 万美元瞬间消失:Shaken Hope Finance 首先出现在 Journal du Coin 上。