The Meter Passport token bridge platform has incurred $4.4 million in losses due to a smart contract hack which also caused Hundred Finance to lose $3.3 million through under-collateralized loans.
Meter.io’s Meter Passport (MTRG) là một cầu nối token tương thích với Ethereum và sidechains của nó. Cuộc tấn công này ảnh hưởng đến phía Moonriver của cây cầu.
Moonriver is a smart contract platform based on Polkadot’s Kusama network. Hundred Finance is a crypto lending platform based on the code for Compound Finance.
Bắt đầu từ 2giờ chiều UTC vào ngày 5 tháng 2 và trong một số giao dịch, khoảng 4,4 triệu USD trên Binance Coin (BNB) và wETH đã được đúc thông qua một “giả định tin cậy sai lầm” trong mã, theo ngày 6 tháng 2 tuyên bố từ đội Meter. Trong trường hợp này, một lượng ETH tùy ý đã được gửi vào Meter mà hacker sử dụng để bạc hà mã thông báo bằng cách sử dụng lỗ hổng.
1. Khoảng 6 giờ sáng giờ Thái Bình Dương, chúng tôi xác định ai đó có thể tận dụng lỗ hổng của cây cầu để bạc hà một lượng lớn token BNB và WETH và làm cạn kiệt dự trữ cầu nối cho BNB trên WETH.
—⚡️ Meter.io ⚡️ (@Meter_IO) Tháng Hai 5, 2022
Cuộc tấn công đã gây ra hiệu ứng thác trên hệ sinh thái Moonriver dựa trên Kusama. Sau khi rút đồng hồ dự trữ BNB và wETH của mình, kẻ tấn công đã bán BNB trên SushiSwap, một sàn giao dịch phi tập trung phổ biến. Điều này dẫn đến sự sụp đổ 77% về giá BNB trên Moonriver vào thời điểm đó.
Một số người cơ hội sau đó đã tận dụng lợi thế của việc giảm giá bằng cách mua BNB giá rẻ. Họ đã sử dụng các token làm tài sản thế chấp trên Hundred Finance để đưa ra các khoản vay stablecoin FRAX và MIM. Do sự khác biệt về giá BNB, tuy nhiên, các khoản vay của họ có giá trị cao hơn so với tài sản thế chấp mà họ đã cung cấp, gây ra khủng hoảng nguồn cung.
2/4. Tài khoản đã có thể mua BNB.bsc với giá giảm và sử dụng các token này làm tài sản thế chấp với giá Chainlink toàn cầu để vay tài sản không bị xâm phạm trên nền tảng của chúng tôi. Trong số này, MIM và FRAX hiện đang bị ảnh hưởng.
—Hundred Finance (@HundredFinance) Tháng Hai 6, 2022
Thật ngạc nhiên, hai trong số các khoản vay đã được hoàn trả, để lại khoản lỗ 3,3 triệu đô la xuất sắc cho giao thức Trăm. Nhóm Hundred đã cố gắng liên hệ với các bên liên quan để yêu cầu họ trả lại các token BNB được sử dụng làm tài sản thế chấp cho Meter.
Nhóm Meter đã cam kết hoàn trả cộng đồng của mình và Hundred Finance cho các tổn thất phát sinh do vụ hack. Nhóm nghiên cứu tuyên bố vào ngày 6 tháng 2 rằng họ đã dành 4.4 triệu đô la tiền mã thông báo MTRG để trang trải các khoản lỗ ban đầu.
“ Vfat”, người sáng lập bút danh của Hundred Finance, cho biết trong một tuyên bố với Rekt News vào ngày 6 tháng 2 rằng:
“ Meter tất nhiên đã chấp nhận trách nhiệm cho vụ hack này và đang có ý định sử dụng mã thông báo gốc của họ để hoàn trả đến mức họ có thể, hiện tại chúng tôi đang ở trong giai đoạn thu thập địa chỉ và số tiền.”
Liênquan: Qubit Finance bị tổn thất 80 triệu đô la sau hack
Công ty bảo mật blockchain PeckShield ước tính rằng tổng cộng, 1.391 ETH và 2.74 wBTC đã được kẻ tấn công thực hiện và kể từ đó đã được gửi đến Ethereum nơi các token đã trải qua Tornado Cash, một công cụ bảo mật giao dịch ETH.
Nhóm Hundred Finance vẫn chưa trả lời yêu cầu bình luận.
The initial details of the exploit of Meter’s code resemble the Wormhole hack on Feb. 3 in which 120,000 wETH ($321 million) were maliciously minted and extracted from Wormhole’s platform. In that incident, the hacker exploited a smart contract bug to mint wETH at will and sent the tokens to Ethereum, where they were washed via Tornado Cash.