Vào 16/4, Hundred Finance yêu cầu người dùng bị ảnh hưởng đó liên hệ với họ trên Twitter hoặc Discord để được trợ giúp. Được biết, vụ tấn công xảy ra vào ngày 15/4, khi họ phát hiện token của mình giảm 46% xuống còn 0,0212 USD.
Hundred Finance cho biết, họ thiết lập cuộc thương thuyết với nhóm tin tặc để lấy lại số tiền, đồng thời đã nhờ cậy đến sự can thiệp của các tổ chức bảo mật hàng đầu. Một thành viên của Hundred Finance có tên là acidbird cho biết, không chỉ giao thức này bị tấn công tài chính mà còn có một người dùng sở hữu tất cả các loại stablecoin cũng bị ảnh hưởng.
Theo công ty bảo mật chuỗi khối CertiK, tin tặc đã thao túng tỷ giá của mã Ethereum ERC-20 và hTOKENS để đánh cắp 7,4 triệu USD của Hundred Finance. Dự án Hundred Finance chạy trên Optimism, một trong Layer2 đang nóng hiện nay thuộc hệ sinh thái Ethereum.
Đầu tiên, kẻ tấn công đã tặng một lượng lớn Bitcoin được bọc cho hợp đồng thông minh trên Hundred Finance để xác định tỷ giá giữa Bitcoin và Bitcoin được bọc (Wrapped Bitcoin - WBTC) trên Hundred Finance.
Điều này làm tăng tỷ giá, sau đó kẻ tấn công đã vay một khoản vay lớn và sau đó có thể lấy lại số tiền họ đã quyên góp bằng cách đổi một lượng tương đối nhỏ Wrapped Bitcoin trên Hundred Finance. Wrapped Bitcoin (WBTC) là một mã ERC-20 đại diện cho Bitcoin trên Ethereum, có giá trị tương ứng với một đồng Bitcoin.
Ước tính thiệt hại mà Hundred Finance hứng chịu là hơn 1.000 Ethereum; 1,2 triệu stablecoin USDC; khoảng 1,1 triệu stablecoin Tether và gần 843.000 stablecoin DAI, theo công ty bảo mật Web3 Numen Cyber Technology.
Trong quá khứ, Hundred Finance bị tin tặc tấn công trên chuỗi Gnosis, một dự án chuỗi khối chạy trên mạng Ethereum. Ảnh hưởng từ vụ hack đó, Hundred Finance buộc tạm thời ngừng giao dịch trên chuỗi.
Hundred Finance là một giao thức cho vay đa chuỗi, cung cấp dịch vụ về multi-chain (giải pháp cầu nối cho phép di chuyển tài sản giữa các Blockchain khác nhau), hỗ trợ người dùng vay và kiếm lợi nhuận từ tài sản hiện có.
Giao thức đã triển khai trên mạng chính Ethereum, Arbitrum, Fantom,... Dapp (mô hình ứng dụng phi tập trung) của Hundred Finance cho phép người dùng truy cập vào các mạng lưới, thông qua việc tích hợp các ví Web3.0. Hundred Finance đóng vai trò cầu nối đưa tài sản tiền gửi di chuyển trên các chuỗi có nhu cầu sử dụng, góp phần tăng thanh khoản trong nền tảng.
Tương tự Hundred Finance, vừa qua dự án Yearn Finance đã bị tấn công flash loan (khoản vay nhanh) từ giao thức Aave. Theo Peckshield, thiệt hại sau vụ hack của Yearn Finance có thể lên tới hơn 10 triệu USD. Nguyên nhân được cho là Yearn (yUSDT) bị định cấu hình sai và tin tặc đã khai thác nó để đúc yUSDT với số lượng lớn (1.252.660.242.212.927,5) từ một USDT nhỏ 10K USD. Sau đó, yUSDT này đã được rút ra thông qua việc hoán đổi sang các đồng tiền ổn định khác. Số stablecoin bị mất mát bao gồm DAI, USDC, BUSD, TUSD, USDT.
Một hacker mũ trắng có tài khoản Twitter là samczun cho rằng, phiên bản USDT của yUSDT đã để lộ một số lỗ hổng, kể từ những ngày đầu được triển khai phần mềm (khoảng hơn 1.000 ngày trước). Phiên bản USDT cấu hình sai địa chỉ hợp đồng thành Fulcrum (điểm tựa đòn bẩy) iUSDC, thay vì là iUSDT.
Trong nhiều ngày qua không ít các dự án phải gánh chịu thiệt hại sau khi bị tin tặc tấn công. Đơn cử như Sentiment, một dự án hoạt động dưới dạng cho vay thế chấp, được xây dựng trên hệ sinh thái Arbitrum. Sentiment đã bị hack 536.000 USDC từ cầu nối Synape Bridge, gây gián đoạn đến một loạt giao dịch Arbitrum rút tiền của dự án. Tổng thiệt hại mà Sentiment hứng chịu là khoảng 500.000 USD.
Sau đó, Arbiscan đã tìm thấy địa chỉ ví của kẻ tấn công và gắn nhãn "Sentimentxyz Exploiter". Nguyên nhân được cho là do lỗ hổng bảo mật reentrancy của hợp đồng thông minh trên Sentiment. Thông qua việc tấn công vào hợp đồng thông minh Arbitrum tại địa chỉ 0xa4d063b9468b93aee2a87ec7072c3dabd5ee5968, tên hacker đã đánh cắp thành công khóa triển khai giao thức.
