Cafodd stabalcoin seiliedig ar Arbitrum ei gyfaddawdu gan sgam contract smart â cherddorfa dda a arweiniodd at ddefnyddwyr yn colli tua $2 filiwn o'u cyfrifon. Adroddodd CertiK y digwyddiad wrth ymateb i drydariad Hope Finance yn rhybuddio cwsmeriaid am y sgam.
Mae defnyddwyr yn colli arian i ecsbloetio arall eto
Mae darpar ddefnyddwyr y prosiect Hope Token sydd newydd ei lansio ym mis Ionawr wedi bod swiped yn lân o fwy na $2 filiwn trwy raced contract smart. CertiKTynnodd , endid diogelwch gwe3 enwog, sylw at y digwyddiad mewn ymateb i drydariad gan Hope Finance yn rhybuddio ei ddefnyddwyr am y twyll.
Er nad yw manylion llawn y prosiect wedi'u datgelu'n llawn, daeth cyfrif Twitter y platfform i rym ym mis Ionawr 2023, gan roi manylion y stablecoin algorithmig sydd ar ddod a enwir Tocyn Hope (HOPE). Dywedir bod y tocyn yn gallu mireinio ei swm mewn perthynas â phris Ether.
Esboniodd CertiK fod y sgamiwr wedi defnyddio llwybrydd ffug yn ystod y paratoad i ymadael trwy gyllid gobaith. Yna diweddarodd y sgamiwr y SwapHelper i ddefnyddio'r llwybrydd amheus i gael mynediad at drosglwyddiad diddorol y waled a chafodd gymeradwyaeth pob un o 3 deiliad y tocynnau Hope.
Newidiodd y sgamiwr o gyfnewid tocynnau i'w hanfon fel USDC i gyfeiriad arall yr oedd yn ei reoli.
Mae'r postiadau Twitter gan Hope Finance yn honni bod yr haciwr o darddiad Nigeria a'i fod eisoes wedi trosi'r mwy na $1.8 miliwn o arian a gafodd ei ddwyn yn Arian Parod Tornado.
Digwyddodd y trosglwyddiad eiliadau cyn ei lansio ar Chwefror 20. Ni wnaeth y sgamiwr ymyrryd â manylion y contract smart yn unig i gael mynediad llawn i'r cyllid ym mhrotocol genesis Hope Finance.
Archwiliad o'r cod gan Cognitos
Yn ôl neges drydar bostio ar Chwefror 13, nododd Hope Finance fod gweithiwr o Cognitos yn archwilio'r contract smart. Yr oedd gan y cynrychiolydd ffug dau brif wendid yn y contract smart: ymosodiadau reentrancy ac addaswyr amhriodol.
Fodd bynnag, datgelodd Cognitos archwiliad llwyddiannus o'r cod contract smart hyd yn oed pe bai'r ddau wendid yn cael eu gweld.
Er mwyn atal mwy o ddefnyddwyr rhag twyll, cyhoeddodd Hope Finance ffordd wahanol y gall defnyddwyr ei defnyddio i dynnu eu harian o'r system i glustogi mwy o ddefnyddwyr rhag twyll. Yn ogystal, mae argaeledd protocol haen-2 yn feddyginiaeth i drin achosion o'r fath yn y platfform Ethereum.
Daw'r ymosodiad ar ôl contract smart arall trin digwydd yn Ethereum Denver, gan arwain at golled o fwy na $300,000.
Ffynhonnell: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/