Hundred Finance’s $7.4 million stolen last year starts to move

DL News · 2024-05-01T14:59:11.000Z

In April last year, a hacker exploited a bug in Optimism-based DeFi protocol Hundred Finance, making off with $7.4 million. After over a year of silence, the stolen funds are now on the move. At around 10:25 am London time on Wednesday, the hacker withdrew almost $800,000 worth of Ether and Tether’s USDT stablecoin from decentralised exchange Curve after using the tokens to provide liquidity there over a year ago. Following the withdrawal, the hacker used decentralised exchange Uniswap to swap the USDT, as well as smaller amounts of other cryptocurrencies like PAXG, WOO, FRAX and DAI into Ether. In total, the transactions increased the wallet’s Ether holdings by just over $1 million. The hacker now holds $4.2 million worth of Ether, $1.2 million DAI, $859,000 of Synthetix’s sUSD stablecoin, and smaller amounts of Wrapped Ether, FRAX, SNX, and Wrapped Bitcoin. Why the hacker suddenly decided to start moving funds after all this time isn’t known. If the hacker is still in control of the wallet and behind the transactions, it could signal they are preparing to cash out the stolen funds. Hackers often convert stolen crypto into Bitcoin or Ether in order to more easily swap it for fiat currency. Could the hacker cash out? It may be increasingly difficult for the hacker to cash out their stolen crypto. Before attempting to cash out funds through a centralised crypto exchange, the hacker will need to break the chain of traceability that links the funds to the wallet that conducted the hack. Previously, hackers have relied on crypto mixers such as Samourai Wallet or privacy protocols like Tornado Cash to launder funds. But regulators worldwide are cracking down on ways crypto users can obfuscate their transaction histories. On April 24, the European Parliament voted to ban crypto mixers as part of new anti-money laundering regulations. Then on April 25, the DoJ charged two founders of crypto mixer Samourai Wallet with conspiracy to commit money laundering and conspiracy to operate an unlicensed money transmitting business. In the case like Samourai Wallet, US authorities took control of the crypto mixer’s servers, leaving it inoperable. The enforcement actions have also dissuaded users from using crypto mixers and privacy protocols. In September 2022, developers at privacy protocol Tornado Cash told crypto security firm Elliptic that low liquidity on the protocol meant that users were struggling to mix even $100. The Hundred Finance hack: One year later Hundred Finance was a protocol forked from popular lending protocol Compound v2 that let users lend and borrow crypto. On April 15 2023, a hacker exploited a bug in Hundred Finance’s code to steal approximately $7.4 million from depositors. The hacker exploited a rounding error in how the protocol processed withdrawals, letting them use a small amount of Wrapped Bitcoin as collateral to withdraw more assets then they should have been able to. Following the exploit, Hundred Finance first offered a $500,000 open bounty for information that could lead to the arrest of the hacker and the retrieval of the stolen assets. Later, the protocol attempted to negotiate a return of the funds by offering the hacker 10% of the stolen funds, around $740,000, for the safe return of the remaining 90%. Both attempts to recover the stolen funds failed, and Hundred Finance token holders voted to shut the project down on August 9. Tim Craig is a DeFi Correspondent at DL News. Got a tip? Email him at tim@dlnews.com.

En abril del año pasado, un hacker aprovechó un error en el protocolo DeFi Hundred Finance basado en Optimism y se llevó 7,4 millones de dólares.
Después de más de un año de silencio, los fondos robados ya están en movimiento.
Alrededor de las 10:25 am, hora de Londres, el miércoles, el hacker retiró casi $800,000 en Ether y la moneda estable USDT de Tether del intercambio descentralizado Curve después de usar los tokens para proporcionar liquidez allí hace más de un año.
Tras el retiro, el hacker utilizó el intercambio descentralizado Uniswap para intercambiar USDT, así como cantidades más pequeñas de otras criptomonedas como PAXG, WOO, FRAX y DAI por Ether.
En total, las transacciones aumentaron las tenencias de Ether de la billetera en poco más de $1 millón.
El hacker ahora posee 4,2 millones de dólares en Ether, 1,2 millones de dólares en DAI, 859.000 dólares de la moneda estable sUSD de Synthetix y cantidades más pequeñas de Wrapped Ether, FRAX, SNX y Wrapped Bitcoin.
Se desconoce por qué el hacker decidió repentinamente comenzar a mover fondos después de todo este tiempo. Si el pirata informático todavía tiene el control de la billetera y está detrás de las transacciones, podría indicar que se está preparando para retirar los fondos robados.
Los piratas informáticos a menudo convierten las criptomonedas robadas en Bitcoin o Ether para poder cambiarlas más fácilmente por moneda fiduciaria.
¿Podría el hacker retirar dinero?
Puede resultar cada vez más difícil para el hacker retirar sus criptomonedas robadas.
Antes de intentar retirar fondos a través de un intercambio de cifrado centralizado, el pirata informático deberá romper la cadena de trazabilidad que vincula los fondos con la billetera que realizó el pirateo.
Anteriormente, los piratas informáticos dependían de mezcladores de criptomonedas como Samourai Wallet o protocolos de privacidad como Tornado Cash para lavar fondos.
Pero los reguladores de todo el mundo están tomando medidas enérgicas contra las formas en que los usuarios de criptomonedas pueden ofuscar sus historiales de transacciones.
El 24 de abril, el Parlamento Europeo votó a favor de prohibir los mezcladores de criptomonedas como parte de las nuevas regulaciones contra el lavado de dinero.
Luego, el 25 de abril, el Departamento de Justicia acusó a dos fundadores del mezclador de criptomonedas Samourai Wallet de conspiración para cometer lavado de dinero y conspiración para operar un negocio de transmisión de dinero sin licencia.
En el caso de Samourai Wallet, las autoridades estadounidenses tomaron el control de los servidores del mezclador de criptomonedas, dejándolo inoperable.
Las acciones de cumplimiento también han disuadido a los usuarios de utilizar mezcladores criptográficos y protocolos de privacidad. En septiembre de 2022, los desarrolladores del protocolo de privacidad Tornado Cash le dijeron a la firma de seguridad criptográfica Elliptic que la baja liquidez en el protocolo significaba que los usuarios tenían dificultades para mezclar incluso $100.
El truco de Hundred Finance: un año después
Hundred Finance era un protocolo derivado del popular protocolo de préstamos Compound v2 que permitía a los usuarios prestar y pedir prestado criptomonedas.
El 15 de abril de 2023, un pirata informático aprovechó un error en el código de Hundred Finance para robar aproximadamente 7,4 millones de dólares a los depositantes.
El hacker aprovechó un error de redondeo en la forma en que el protocolo procesaba los retiros, permitiéndoles usar una pequeña cantidad de Wrapped Bitcoin como garantía para retirar más activos de los que deberían haber podido.
Tras el exploit, Hundred Finance ofreció primero una recompensa abierta de 500.000 dólares por información que pudiera conducir al arresto del hacker y a la recuperación de los activos robados.
Más tarde, el protocolo intentó negociar la devolución de los fondos ofreciendo al hacker el 10% de los fondos robados, alrededor de 740.000 dólares, a cambio de la devolución segura del 90% restante.
Ambos intentos de recuperar los fondos robados fracasaron y los poseedores de tokens de Hundred Finance votaron a favor de cerrar el proyecto el 9 de agosto.
Tim Craig es corresponsal de DeFi en DL News. ¿Tienes un consejo? Envíele un correo electrónico a tim@dlnews.com.

Los 7,4 millones de dólares robados el año pasado a Hundred Finance comienzan a moverse

Explora más de este creador

Lo más reciente

Los 7,4 millones de dólares robados el año pasado a Hundred Finance comienzan a moverse

Explora más de este creador

Lo más reciente

Artículos populares