W kwietniu ubiegłego roku haker wykorzystał błąd w protokole DeFi opartym na Optymizmie Hundred Finance i zarobił 7,4 miliona dolarów.
Po ponad roku milczenia skradzione fundusze są teraz w ruchu.
W środę około godziny 10:25 czasu londyńskiego haker wycofał kryptowalutę USDT Ether i Tether o wartości niemal 800 000 dolarów ze zdecentralizowanej giełdy Curve po tym, jak ponad rok temu wykorzystał tam tokeny do zapewnienia płynności.
Po wycofaniu haker wykorzystał zdecentralizowaną giełdę Uniswap do zamiany USDT, a także mniejszych ilości innych kryptowalut, takich jak PAXG, WOO, FRAX i DAI na Ether.
W sumie transakcje zwiększyły zasoby Etheru w portfelu o nieco ponad 1 milion dolarów.
Haker posiada obecnie Ether o wartości 4,2 miliona dolarów, DAI o wartości 1,2 miliona dolarów, monetę stablecoin sUSD firmy Synthetix o wartości 859 000 dolarów oraz mniejsze ilości Wrapped Ether, FRAX, SNX i Wrapped Bitcoin.
Nie wiadomo, dlaczego haker nagle zdecydował się rozpocząć przenoszenie środków po tak długim czasie. Jeśli haker nadal kontroluje portfel i stoi za transakcjami, może to oznaczać, że przygotowuje się do wypłaty skradzionych środków.
Hakerzy często konwertują skradzione kryptowaluty na Bitcoin lub Ether, aby łatwiej wymienić je na walutę fiducjarną.
Czy haker mógłby wypłacić pieniądze?
Hakerowi może być coraz trudniej wypłacić skradzione kryptowaluty.
Przed próbą wypłaty środków za pośrednictwem scentralizowanej giełdy kryptowalut haker będzie musiał przerwać łańcuch identyfikowalności łączący środki z portfelem, który przeprowadził włamanie.
Wcześniej hakerzy w celu prania środków polegali na mikserach kryptowalut, takich jak Samourai Wallet, lub protokołach prywatności, takich jak Tornado Cash.
Jednak organy regulacyjne na całym świecie rozprawiają się ze sposobami, w jakie użytkownicy kryptowalut mogą zaciemniać historię swoich transakcji.
24 kwietnia Parlament Europejski głosował za zakazem mieszania kryptowalut w ramach nowych przepisów dotyczących przeciwdziałania praniu pieniędzy.
Następnie 25 kwietnia Departament Sprawiedliwości oskarżył dwóch założycieli miksera kryptowalut Samourai Wallet o spisek mający na celu pranie pieniędzy i spisek mający na celu prowadzenie nielicencjonowanej firmy zajmującej się przesyłaniem pieniędzy.
W przypadku takim jak Samourai Wallet władze USA przejęły kontrolę nad serwerami miksera kryptowalut, uniemożliwiając jego działanie.
Działania egzekwowania prawa zniechęciły również użytkowników do korzystania z mikserów kryptowalut i protokołów prywatności. We wrześniu 2022 r. programiści protokołu prywatności Tornado Cash powiedzieli firmie Elliptic zajmującej się bezpieczeństwem kryptowalut, że niska płynność protokołu oznacza, że użytkownicy mają trudności z wymieszaniem nawet 100 dolarów.
Hack The Hundred Finance: Rok później
Hundred Finance był protokołem będącym rozwidleniem popularnego protokołu pożyczkowego Compound v2, który umożliwiał użytkownikom pożyczanie i pożyczanie kryptowalut.
15 kwietnia 2023 r. haker wykorzystał błąd w kodzie Hundred Finance i ukradł deponentom około 7,4 miliona dolarów.
Haker wykorzystał błąd zaokrąglenia w sposobie przetwarzania wypłat przez protokół, pozwalając mu użyć niewielkiej ilości Opakowanego Bitcoina jako zabezpieczenia w celu wycofania większej liczby aktywów, niż powinien.
Po exploitie firma Hundred Finance najpierw zaoferowała nagrodę w wysokości 500 000 dolarów za informacje, które mogą doprowadzić do aresztowania hakera i odzyskania skradzionych aktywów.
Później protokół próbował negocjować zwrot środków, oferując hakerowi 10% skradzionych środków, czyli około 740 000 dolarów, w zamian za bezpieczny zwrot pozostałych 90%.
Obie próby odzyskania skradzionych środków nie powiodły się, a 9 sierpnia posiadacze tokenów Hundred Finance głosowali za zamknięciem projektu.
Tim Craig jest korespondentem DeFi w DL News. Masz wskazówkę? Wyślij mu e-mail na adres tim@dlnews.com.