O protocolo de empréstimo baseado em Optimism, Kokomo Finance, é suspeito de um golpe de saída de US$4 milhões que viu fundos de usuários retirados da plataforma por meio de uma brecha de contrato inteligente.
A empresa de segurança blockchain, CertiK, alertou seus seguidores sobre o “golpe de saída” em um tweet, observando que o token Kokomo Finance (KOKO) havia caído 95% em valor em questão de minutos.
A CertiK também observou que a Kokomo Finance também removeu todas as contas de mídia social imediatamente após o suposto puxão de tapete.
CertiK disse que o implantador de KOKO atacou o código de contrato inteligente de um token Bitcoin embrulhado, cBTC, redefinindo a velocidade de recompensa e pausando a função de empréstimo.
Depois disso, um endereço começando com “0x5a2d..” aprovou o novo contrato inteligente cBTC para gastar mais de 7000 Sonne Wrapped Bitcoin (So-WBTC).
On 26 March 2023, Kokomo Finance conducted an exit scam and stole ~$4 million in user funds.
Details Below 👇 https://t.co/BEPwfahblz
— CertiK Alert (@CertiKAlert) March 26, 2023
O invasor então chamou outro comando para trocar o So-WBTC pelo endereço 0x5a2d, o que produziu um lucro de US$4 milhões, de acordo com a empresa de segurança.
Um representante da CertiK disse que foi o maior incidente que a empresa detectou no Optimism.
O diretor de operações de segurança, Hugh Brooks, também disse que, como o contrato cBTC era atualizável, ele podia ser implementado em um contrato malicioso.
Kokomo Finance é um protocolo de empréstimo de código aberto e sem custódia no Optimism, onde os investidores podem negociar wBTC, Ether (ETH), Tether (USDT), USD Coin (USDC) e Dai (DAI).
A Kokomo Finance subiu rapidamente nos últimos dias, com plataformas de dados blockchain como CoinGecko e DefiLlama rastreando-a oficialmente logo após a Kokomo Finance entrar no ar no Optimism.
Capturas de tela recentes revelam que mais de $2 milhões foram bloqueados na Kokomo Finance antes de cair mais de 97%.
Mais de 72% do valor total bloqueado no protocolo Kokomo Finance veio na forma de Bitcoin embrulhado.
Todas as mídias sociais e sites de blog listados na página Linktree da Kokomo Finance agora levam a páginas de erro indicando que foram removidos.
A auditoria de contrato inteligente da Kokomo Finance, foi revisada e compartilhada pela 0xGuard no início de março.
Embora a maioria dos aspectos da auditoria tenha sido aprovada, foram encontrados “erros tipográficos” e o proprietário do token KOKO também foi capaz de cunhar 45% do fornecimento máximo para um endereço arbitrário.
Brooks disse que a Kokomo Finance também explorou fundos por meio desse método, mas a grande maioria veio da atualização do contrato cBTC.
Ele acrescentou que a CertiK já viu dois incidentes de golpes de saída resultantes do método de cunhagem.