Kẻ lừa đảo đánh cắp 2 triệu USD tiền người dùng từ Hope Finance

Stablecoin dựa trên Arbitrum đã bị xâm phạm bởi một vụ lừa đảo hợp đồng thông minh được dàn dựng kỹ lưỡng, dẫn đến việc người dùng mất khoảng 2 triệu đô la từ tài khoản của họ. CertiK đã báo cáo sự việc này trong khi phản hồi dòng tweet của Hope Finance cảnh báo khách hàng về vụ lừa đảo.
Người dùng mất tiền để khai thác khác
Những người dùng tiềm năng của dự án mới ra mắt Hope Token vào tháng 1 đã bị quét sạch hơn 2 triệu USD thông qua một hợp đồng thông minh. CertiK, một tổ chức bảo mật web3 nổi tiếng, đã nhấn mạnh sự kiện này để phản hồi lại dòng tweet của Hope Finance cảnh báo người dùng về hành vi lừa dối.
#CommunityAlert 🚨@hope_fin đã thông báo rằng cộng đồng đã bị lừa ~2 triệu đô la, khiến đây trở thành#exitscamlớn nhất trên Arbitrum vào năm 2023. 1,86 triệu đô la đã được chuyển đến @TornadoCash.Hope_fin đã đăng các bước để người dùng rút LP đã đặt cược của họhttps://t .co/hJbFXiKujt
- Cảnh báo CertiK (@CertiKAlert) Ngày 21 tháng 2 năm 2023
Mặc dù thông tin chi tiết đầy đủ của dự án vẫn chưa được tiết lộ đầy đủ nhưng tài khoản Twitter của nền tảng này đã xuất hiện vào tháng 1 năm 2023, cung cấp thông tin chi tiết về stablecoin thuật toán sắp ra mắt có tên Hope Token (HOPE). Token được cho là có thể tinh chỉnh số lượng của nó liên quan đến giá của Ether.
CertiK giải thích rằng kẻ lừa đảo đã triển khai một bộ định tuyến giả trong quá trình chuẩn bị rút lui bằng Hope Finance. Sau đó, kẻ lừa đảo đã cập nhật SwapHelper để sử dụng bộ định tuyến đáng ngờ nhằm truy cập vào giao dịch chuyển khoản thú vị của ví và nhận được sự chấp thuận của cả 3 người nắm giữ mã thông báo Hope.
Kẻ lừa đảo đã thay đổi từ việc hoán đổi token sang gửi chúng dưới dạng USDC đến một địa chỉ khác mà hắn kiểm soát.
#CertiKSkynetAlert 🚨1\ Để chuẩn bị cho vụ lừa đảo @hope_fin #exit, một bộ định tuyến giả đã được triển khai trong txn 0xf188. SwapHelper sau đó đã được cập nhật để sử dụng bộ định tuyến giả mạo này trong txn 0xc9ee. Txn này đã được cả 3 chủ sở hữu multisig 0x8ebd của Hope chấp thuận. pic.twitter.com/Qpxa2f6d6b
- Cảnh báo CertiK (@CertiKAlert) Ngày 21 tháng 2 năm 2023
Các bài đăng trên Twitter của Hope Finance cho rằng hacker có nguồn gốc từ Nigeria và đã chuyển hơn 1,8 triệu USD số tiền bị đánh cắp thành Tornado Cash.
Quá trình chuyển tiền diễn ra ngay trước khi ra mắt vào ngày 20 tháng 2. Kẻ lừa đảo chỉ giả mạo các chi tiết hợp đồng thông minh để có toàn quyền truy cập vào tài chính trong giao thức gốc của Hope Finance.
LỪA ĐẢO CHẾT!!!! ANH ẤY LỪA ĐẢO CỘNG ĐỒNG ĐỂ 2 TRIỆU ĐÔ LA pic.twitter.com/F3AWKpqZfD
- Tài chính Hy vọng (💙,🧡) (@Hope_fin) Ngày 20 tháng 2 năm 2023
Kiểm tra mã của Cognitos
Theo một tweet được đăng vào ngày 13 tháng 2, Hope Finance chỉ ra rằng một nhân viên từ Cognitos đã kiểm toán hợp đồng thông minh. Người đại diện đã chỉ ra hai điểm yếu chính trong hợp đồng thông minh: các cuộc tấn công quay trở lại và các sửa đổi không phù hợp.
Tuy nhiên, Cognitos tiết lộ đã kiểm tra thành công mã hợp đồng thông minh ngay cả khi có hai lỗ hổng được chứng kiến.
Để bảo vệ nhiều người dùng hơn khỏi gian lận, Hope Finance đã công bố một cách khác mà người dùng có thể sử dụng để rút tiền khỏi hệ thống nhằm bảo vệ nhiều người dùng hơn khỏi gian lận. Ngoài ra, sự sẵn có của giao thức lớp 2 là một biện pháp khắc phục những trường hợp như vậy trên nền tảng Ethereum.
Các bước để rút LP đã đặt cược của bạn khỏi giao thức lừa đảo chết tiệt này1. Truy cập liên kết nàyhttps://t.co/HjuvQyxbUX2. kết nối ví của bạn3. nhấp vào rút tiền khẩn cấpNhập 000000000000000000000000000000000000000000000000000000000000000000002 pic.twitter.com/5RxtgKXgoo
- Tài chính Hy vọng (💙,🧡) (@Hope_fin) Ngày 21 tháng 2 năm 2023
Cuộc tấn công xảy ra sau khi một vụ thao túng hợp đồng thông minh khác xảy ra ở Ethereum Denver, dẫn đến thiệt hại hơn 300.000 USD.