5 cuộc tấn công flash loan vào các dự án Binance Smart Chain chỉ trong vài tuần gần đây, lần này là Belt Finance

Ngày 30/05, lại thêm một dự án nữa trên Binance Smart Chain (BSC) bị tấn công, đó là Belt Finance. Phương thức cũng không xa lạ, đó chính là lợi dụng công cụ flash loan. Tổng thiết hại lần này ước tính lên đến $6.2 triệu bằng BUSD chỉ trong 8 giao dịch.

Lại thêm một dự án BSC bị tấn công flash loan, lần này là Belt Finance, đã có 5 cuộc tấn công chỉ trong 1 tuần

Các dự án được xây dựng trên Binance Smart Chain gần đây đang liên tục trở thành mục tiêu của những kẻ tấn công. Sau Pancake Bunny, mới đây nhất là BurgerSwap hay Venus. Và lần này, cuộc tấn công flash loan trên BSC đã gọi tên Belt Finance.

Belt Finance là một nền tảng cung cấp tính năng AMM – Automated Market Making (thị trường tự động) cho stablecoin và các tài sản có giá trị tương đương trên Binance Smart Chain. Được biết, Belt Finance là một trong những dự án IFO lớn nhất trên Pancake Swap với tốc độ phát triển cực nhanh. Tính đến nay, nó đã chạm mốc $ 700 triệu TVL chỉ trong vòng 48 giờ.

Được biết, đã có 8 giao dịch được diễn ra để đánh cắp khoảng $ 6.2 triệu từ Belt Finance:

1/8

New weekend – a new attack on BSC DeFi protocol.

Today $6.2M in BUSD was stolen from Belt Finance in 8 transactions.

Below is what happened👇 pic.twitter.com/1URb9sJud0

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

Theo Igor Igamberdiev – thành viên đội nghiên cứu thị trường của The Block cho biết:

3/8

3) Deposited 187M BUSD to bVenusBUSD strategy (‘Most Insufficient Strategy’)

❗️The following steps are repeated seven+ times 🔄

4) Swapped 190M BUSD to 169M USDT through Ellipsis pic.twitter.com/HTwrhkuuu6

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

“1) Các hackers đã sử dụng flash loan vay 8 giao dịch, trị giá $ 385 triệu BUSD từ PancakeSwap.

2) Sau đó, bọn chúng đã gửi 10 triệu BUSD vào pool bEllipsisBUSD (chỉ thực hiện với giao dịch đầu tiên, đây là “Most Insufficient Strategy”)

3) Liên tục gửi $ 187 triệu BUSD vào pool bVenusBUSD.

4) Đã swap $ 190 triệu BUSD thành 169 triệu USDT thông qua Ellipsis.”

Cũng theo đó, đội ngũ Belt Finance cũng khá nhanh chóng, đã thông báo đến toàn thể người dùng trên Twitter như sau:

“Một phần quỹ từ pool 4Belt của chúng tôi đã bị ảnh hưởng. (Số tiền chính xác sẽ sớm được công bố). Chúng tôi hiện đang phân tích và cập nhật hợp đồng để đảm bảo an toàn. Sau đó, đội ngũ sẽ công bố kế hoạch bồi thường và báo cáo chi tiết về vụ tấn công. Việc rút các vault BSC sẽ tạm ngừng hoạt động cho đến khi hoàn tất quá trình nâng cấp hợp đồng.”

Nguồn: Belt Finance Twitter

Ở thời điểm hiện tại, giá BELT đã giảm khoảng 25%, giao dịch quanh mức $ 32.82. Được biết, giá beltBUSD phụ thuộc vào tổng số dư của tất cả các vault. Hơn nữa, việc các hacker liên tục gửi BUSD, swap ra USDT sau đó lại rút BUSD ra, swap sang USDT, rồi lại tiếp tục vòng lặp này sẽ không tạo ra lợi nhuận vì số lượng tài sản không thay đổi.

8/8

All stolen BUSD was converted to 2680 anyETH ($6M) via 1inch v3 and partially withdrawn to Ethereum.

1463 ETH has not left the cross-chain bridge at the moment. pic.twitter.com/3luhDoLTFc

— Igor Igamberdiev (@FrankResearcher) May 29, 2021

Theo Igamberdiev, tất cả BUSD bị đánh cắp đã được chuyển thành 2680 anyETH (tương đương $ 6 triệu) thông qua 1inch v3 và một phần được rút về Ethereum. Bên cạnh đó, 1.463 ETH vẫn đang trong quá trình hoàn tất việc chuyển khỏi cross-chain bridge.

1. Work with your audit companies to do another health check. If you are forked projects, please double and triple check your changes from original version.

— Binance Smart Chain (@BinanceChain) May 30, 2021

Ở thời điểm hiện tại, phía BSC cũng đã lên tiếng. Họ cho rằng các hacker đang nhắm vào Binance Smart Chain, kêu gọi mọi người hãy nhanh tay hành động cho tất cả các dApp. Trước tiên là hãy làm việc với các công ty kiểm toán thân quen để thực hiện một cuộc tổng kiểm tra. Sau đó, nhanh chóng áp dụng các biện pháp kiểm soát rủi ro cần thiết để chủ động theo dõi mọi bất thường và tạm dừng quy trình nếu thực sự xảy ra bất thường.

Bên cạnh đó, các dự án cũng được khuyến nghị hãy lên phương án dự phòng cho trường hợp xấu nhất nếu thực sự xảy ra.

DeFi đang ngày càng phổ biến và trở thành mục tiêu hướng đến cho những cuộc tấn công nhằm trục lợi. Không chỉ Belt Finance lần này, trước đó cũng có nhiều dự án như trên Binance Smart Chain bị tấn công. Tiêu biểu có thể kể đến là cuộc tấn PancakeBunny tuần trước với hơn $ 200 triệu bị rút khỏi nền tảng. Bên cạnh vụ việc của BurgerSwap thì dự án JulSwap cũng là một nạn nhân nữa của các hacker. Dự án đã xác nhận nguyên nhân của sự sụt giảm mạnh về giá JUL là do cuộc tấn công flash-loan. Vào cuối tuần qua, một dự án khác của Binance Smart Chain có tên là Bogged Finance cũng đã gánh chịu cuộc tấn công với tổng thiệt hại $ 3 triệu.

• SEC khởi kiện 5 cá nhân quảng bá cho dự án lừa đảo 2 tỷ đô la Bitconnect
• Thành phố Dubai cảnh báo dự án Dubai Coin (DBIC) là lừa đảo, giá token giảm gần về 0

Veronica

Theo AZCoin News