Gebruikers Hope Finance verliezen $2 miljoen na exploit

Het Web3-beveiligingsbedrijf CertiK heeft een incident op 21 februari gemarkeerd, nadat Hope Finance via hun Twitter-account een aankondiging hadden getweet waarin gebruikers op de hoogte werden gesteld van een exploit.

Niet veel details over project bekend

Er zijn nog niet zoveel details openbaar gemaakt over het project. Begin dit jaar werd het Twitter-account van het Hope Finance-platform aangemaakt en werden er plannen geschetst voor een algoritmische stablecoin met de naam ‘Hope-Token’, of HOPE afgekort. Het aanbod van deze munt zou dynamisch aangepast moeten worden aan de prijs van Ethereum (ETH).

Naar verluidt heeft een Nigeriaanse staatsburger een scam kunnen uitvoeren, waardoor er circa $1.86/€1.75 miljoen overgemaakt kon worden van het Hope-platform naar Tornado Cash. Dit was iets nadat het platform gisteren op 20 februari live ging.

De scamer wist misbruik te maken van een slim contract wat er uiteindelijk tot leidde dat fondsen van het Hope Finance Genesis-protocol konden worden afgetapt.

Het lijkt erop dat de oplichter het TradingHelper-contract heeft gewijzigd, wat betekende dat wanneer 0x4481 OpenTrade op de GenesisRewardPool aanroept, het geld wordt overgemaakt naar de oplichter.

2 belangrijke kwetsbaarheden niet opgelost

Nadat het slimme contract onderzocht was, werd bekend dat er 2 belangrijke kwetsbaarheden waren. Deze kwetsbaarheden omvatten een onjuiste modifier en de mogelijkheid van een reëntrancy-aanval. De kwetsbaarheden zouden tevens al eerder aan het licht zijn gekomen, maar daar zou niks aan zijn gedaan om ze op te lossen. Dat is uiteindelijk duur komen te staan.

Na de scam deelde Hope Finance informatie met gebruikers om de ingezette liquiditeit uit het protocol te halen via een noodopnamefunctie. Via Twitter werd als slot een stappenplan gedeeld waarmee ingezette tokens terug konden worden gekregen.