La moneda estable basada en Arbitrum se vio comprometida por una estafa de contrato inteligente bien orquestada que provocó que los usuarios perdieran alrededor de $ 2 millones de sus cuentas. CertiK informó del hecho mientras respondía al tuit de Hope Finance alertando a los clientes de la estafa.
Los usuarios pierden fondos por otro exploit
Los usuarios potenciales del proyecto Hope Token recientemente lanzado en enero han sido limpio de más de $ 2 millones a través de una raqueta de contrato inteligente. Certik, una reconocida entidad de seguridad de web3, destacó el evento en respuesta a un tuit de Hope Finance advirtiendo a sus usuarios del engaño.
Aunque los detalles completos del proyecto no se han revelado por completo, la cuenta de Twitter de la plataforma entró en funcionamiento en enero de 2023, brindando detalles de la próxima moneda estable algorítmica llamada Token de esperanza (ESPERANZA). Se dice que el token puede ajustar su cantidad en relación con el precio de Ether.
CertiK explicó que el estafador implementó un enrutador falso durante la preparación para salir de Hope Finance. Luego, el estafador actualizó SwapHelper para usar el dudoso enrutador para acceder a la interesante transferencia de la billetera y obtuvo la aprobación de los 3 titulares de los tokens Hope.
El estafador pasó de intercambiar tokens a enviarlos como USDC a otra dirección que controlaba.
Las publicaciones en Twitter de Hope Finance afirman que el hacker era de origen nigeriano y que ya había convertido los más de $1.8 millones de fondos robados en Tornado Cash.
La transferencia ocurrió momentos antes de su lanzamiento el 20 de febrero. El estafador solo manipuló los detalles del contrato inteligente para obtener acceso completo a las finanzas en el protocolo de génesis de Hope Finance.
Auditoría del código por Cognitos
De acuerdo con un tweet publicado el 13 de febrero, Hope Finance indicó que un trabajador de Cognitos auditó el contrato inteligente. El representante tenía marcado Dos debilidades principales en el contrato inteligente: ataques de reingreso y modificadores inadecuados.
Sin embargo, Cognitos reveló una auditoría exitosa del código del contrato inteligente incluso si se observaron las dos vulnerabilidades.
Para proteger a más usuarios del fraude, Hope Finance anunció una forma diferente que los usuarios pueden usar para retirar sus fondos del sistema para proteger a más usuarios del fraude. Además, la disponibilidad del protocolo de capa 2 es un remedio para manejar estos casos en la plataforma Ethereum.
El ataque llega tras otro contrato inteligente manipulación sucedió en Ethereum Denver, lo que provocó una pérdida de más de $ 300,000.
Fuente: https://crypto.news/scammer-steals-2m-user-funds-from-hope-finance/