Mới đây, một giao thức tài chính phi tập trung (DeFi) lại tiếp tục bị tấn công (exploit). Vậy là chỉ trong cùng một tuần, ngành công nghiệp tiền điện tử đã chứng kiến đến 2 vụ hack. Trong đó, vụ hack đầu tiên được báo là là lớn nhất từ trước đến nay.
Cụ thể, theo thông tin mới nhất được công bố, giao thức cho vay phi tập trung Ola Finance đã bị hacker đánh cắp một lượng token với giá trị khoảng 4,6 triệu USD.
Rất tiếc rằng đây không phải là một trò đùa ngày Cá tháng Tư đối với người dùng nền tảng DeFi. Theo đó, Ola Finance đã công bố kết quả kiểm tra về vụ tấn công vào ngày 1 tháng 4. Cụ thể, nhóm phát triển thông báo rằng mạng cho vay Ola trên chuỗi khối Fuse đã bị tấn công (exploit) vào ngày 31 tháng Ba.
Tổng cộng 216,964 USDC, 507,216 BUSD, 200,000.00 fUSD, 550,45 WETH, 26,25 WBTC và 1.24 triệu token FUSE đã bị đánh cắp. Tổng giá trị số coin bị đánh cắp vào thời điểm đó là khoảng 4.67 triệu USD.
Trước đó, công ty bảo mật PeckShield đã đưa tin với số tiền tổn thất thấp hơn là 3.6 triệu USD.
1/2 Standing together, @ola_finance and @voltfinance remain united in our efforts to compensate users suffering from the latest exploit.
All projects accept responsibility and ask our communities to focus on the next steps of growth, rather than assigning blame.
— Ola.finance (@ola_finance) March 31, 2022
Lỗi tấn công: Reentrancy Exploit
Theo nhóm phát triển của Ola Finance, cuộc tấn công đã khai thác một lỗ hổng gần đây trong tiêu chuẩn mã thông báo ERC677. Đây là một lỗi hợp đồng thông minh cho phép một tác nhân độc hại thực hiện các cuộc gọi lặp đi lặp lại đến giao thức để ăn cắp nội dung. PeckShield giải thích:
Vụ tấn công có thể xảy ra do sự không tương thích giữa Compound fork và các mã thông báo dựa trên ERC677 / ERC777, có các chức năng gọi lại tích hợp được sử dụng sai để cho phép tái xuất hiện để rút cạn nhóm cho vay.
Lúc đầu, kẻ tấn công đã vay tiền bằng cách sử dụng tài sản thế chấp của chính họ. Sau đó, họ lợi dụng lỗ hổng bảo mật trong các hợp đồng thông minh của Ola để xóa tài sản thế chấp mà không cần hoàn trả khoản vay.
Cuộc tấn công ban đầu liên quan đến khoản vay nhanh 515 ETH từ cặp WETH/WBTC trên Voltage Finance để dùng để “tài trợ” cho vụ trộm.
Quá trình này được lặp lại và cuối cùng hacker đã kiếm được 3.6 triệu USD. Số tiền điện tử này sau đó đã được rửa thông qua các giao dịch ẩn danh Tornado Cash.
Nhóm nghiên cứu tuyên bố rằng họ đang làm việc để đưa ra một kế hoạch bồi thường, nhưng không đi vào chi tiết.
Trong những ngày tới, chúng tôi sẽ thông báo một kế hoạch bồi thường chính thức nêu chi tiết việc phân phối tiền cho những người dùng bị ảnh hưởng.
Giao thức này cũng tuyên bố rằng họ sẽ liên hệ với kẻ tấn công và đưa ra một khoản tiền chuộc để yêu cầu hacker trả lại tiền.
Token Voltage Finance FUSE đã giảm 21% sau khi có thông tin về vụ hack. Tại thời điểm viết bài, giá đang giao dịch ở mức $ 0.448.
Một tuần khó khăn của DeFi
Trong cùng tuần này, một vụ hack khác cũng đã xảy ra đối với Ronin, một cầu cross-chain của Axie Infinity. Theo đó, hacker đã tấn công và lấy đi số tiền khổng lồ lên đến 615 triệu USD. Điều này không nghi ngờ gì đã khiến nó trở thành vụ tấn công tồi tệ nhất trong ngành.
Sky Mavis, công ty đứng sau trò chơi Metaverse nổi tiếng, đã tuyên bố rằng họ “hoàn toàn cam kết” đền bù thiệt hại cho các nạn nhân của vụ tấn công.
Tháng trước, giao thức cho vay của DeFi Hundred Finance đã mất khoảng 6.5 triệu USD trong một cuộc tấn công tương tự.
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Trang tin tức Bitcoin, tiền điện tử
Nguồn: Sưu Tầm