Trong một thông báo vào ngày 15/4, giao thức cho vay multichain Hundred Finance cho biết họ vừa trở thành nạn nhân của một cuộc tấn công do tồn tại lỗ hổng bảo mật nghiêm trọng trên blockchain Ethereum layer 2 Optimism. Hundred Finance đã liên hệ với hacker và đang làm việc với các nhóm bảo mật khác nhau về vụ việc. Mặc dù giao thức không tiết lộ cách thức cuộc tấn công được thực hiện, nhưng theo công ty bảo mật blockchain CertiK, đây là một cuộc tấn công flash loan.
Trong các cuộc tấn công flash loan, hacker sẽ vay một số tiền lớn thông qua một loại khoản vay không thế chấp từ một giao thức cho vay. Sau đó, tin tặc sử dụng số tiền này để thao túng giá của một tài sản trên nền tảng tài chính phi tập trung (DeFi).
Trong trường hợp của Hundred, kẻ tấn công đã thao túng tỷ giá hối đoái giữa token ERC-20 và hTOKENS, cho phép chúng rút nhiều token hơn số tiền gửi ban đầu. CertiK cho biết, các khoản vay lớn đã được thực hiện theo tỷ giá hối đoái bị thao túng, dẫn đến khoản thiệt hại lên đến 7,4 triệu USD cho giao thức.
Cuộc tấn công này diễn ra gần 12 tháng sau khi Hundred bị lộ một lỗ hổng khác trên Gnosis Chain. Vào thời điểm đó, hacker đã rút hết thanh khoản của giao thức thông qua một cuộc tấn công Reentrancy, cuỗm đi hơn 6 triệu USD. Trong cùng một lần khai thác, tin tặc cũng đã đánh cắp tiền từ giao thức Agave.
Kể từ năm ngoái, nhiều hacker đã liên tục tấn công flash loan vào các giao thức DeFi. Gần đây nhất là Euler Finance ($196 triệu) và Mango Markets ($46 triệu). May mắn là hacker của Euler đã trả lại gần hết số tiền, còn kẻ tấn công Mango đã bị chính quyền Hoa Kỳ bắt giữ.