Hope Finance trên Arbitrum bị hack 2 triệu USD

Kẻ tấn công đã lợi dụng lỗ hổng của Hope Finance, thay đổi các chi tiết của hợp đồng thông minh, và rút khoảng 2 triệu USD từ nền tảng.
Công ty bảo mật Web3 CertiK đã cảnh báo vụ tấn công này với cộng đồng vào ngày 21/2.
#CommunityAlert 🚨@hope_fin have announced the community has been scammed for ~$2m making this the largest #exitscam on Arbitrum in 2023.
— CertiK Alert (@CertiKAlert) February 21, 2023
$1.86m was transferred to @TornadoCash.
Hope_fin have posted steps for user's to withdraw their staked LPhttps://t.co/hJbFXiKujt
Hope Finance là một dự án mới trên Arbitrum, ra mắt vào ngày 20/2. Dự án có kế hoạch xây dựng stablecoin thuật toán với tên gọi HOPE. Theo đó, stablecoin này tự động điều chỉnh nguồn cung của nó so với giá của Ethereum (ETH).
Dự án cáo buộc rằng một công dân Nigeria đã tấn công và chuyển hơn 1.86 triệu USD sang Tornado Cash ngay sau khi nền tảng này hoạt động vào ngày 20/2.
Hope Finance cũng thông báo cho người dùng về vụ tấn công và hướng dẫn họ rút tài sản đã staking khỏi giao thức thông qua chức năng rút tiền khẩn cấp.
Steps to withdraw your staked LP from the this fucking scam protocol
— Hope Finance (💙,🧡) (@Hope_fin) February 21, 2023
1. Go on this linkhttps://t.co/HjuvQyxbUX
2. connect your wallet
3. click on emergency withdraw
Enter 0000000000000000000000000000000000000000000000000000000000000002 pic.twitter.com/5RxtgKXgoo
Hợp đồng thông minh của Hope Finance được kiểm tra bởi công ty kiểm tra bảo mật Cognitos. Trong đó, họ đánh dấu hai lỗ hổng của hợp đồng.

Cụ thể, hai lỗi của hợp đồng thông minh này là một công cụ không chính xác (incorrect modifier) và có khả năng bị tấn công reentrancy (cho phép kẻ xấu tấn công vào chức năng rút tiền của dự án). Mặc dù đã đánh dấu hai lỗ hổng này, hợp đồng thông minh của Hope Finance đã vượt qua bài kiểm tra bảo mật, Cognitos cho biết.
Đọc thêm: Cẩn thận với token ăn theo ChatGPT.