Hacker được cho là đã khai thác lỗ hổng bảo mật (exploit) của các quỹ tiết kiệm tại giao thức DeFi Akropolis có trụ sở tại Gibraltar, đánh cắp hơn 2 triệu đô la DAI.
Akropolis tuyên bố rằng họ đã xác định được một vụ hack thực hiện trên một nhóm hợp đồng thông minh trong các quỹ tiết kiệm. Công ty cho biết các khu vực mà hacker nhắm mục tiêu đã được kiểm tra hai lần và chỉ bao gồm “các nhóm tiết kiệm Curve Y và Curve sUSD”.
Địa chỉ hợp đồng thông minh 0xe2307837524Db8961C4541f943598654240bd62f, xuất hiện cho người khai thác, đã thực hiện một loạt các cuộc tấn công flash loan (cho vay nhanh) dYdX trên các nhóm tiết kiệm YCurve và sUSD của Akropolis trước khi gửi hơn 2 triệu đô la DAI đến một địa chỉ khác: 0x9f26ae5cd245bfeeb5926d61497550f79d9c6c1c. Sau đó, họ đã chuyển tiền đến một địa chỉ khác.
Theo Akropolis, phần lớn số tiền trên giao thức là an toàn. Compound DAI, Compound USDC, AAVE sUSD, AAVE bUSD, Curve bUSD và Curve sBTC không bị ảnh hưởng. Các nhóm staking AKRO và ADEL cũng không bị ảnh hưởng. Trong khi đó, tất cả các nhóm stablecoin đã bị tạm dừng. Công ty nói thêm rằng họ đang tìm cách để hoàn trả cho những người dùng bị ảnh hưởng.
Giám đốc điều hành Akropolis, Ana Andrianova đã phản bác các tuyên bố rằng cuộc tấn công đã được thực hiện theo cách tương tự như cuộc tấn công trên giao thức tài chính phi tập trung Harvest Finance vào tháng 10. Trong trường hợp đó, hacker đã khai thác hơn 24 triệu đô la từ các pool của dự án DeFi và hoán đổi nó lấy đồng rBTC. Akropolis tuyên bố rằng việc khai thác được sử dụng là “sự kết hợp của một cuộc tấn công re-entrancy với flash loan (cho vay nhanh) dYdX.”
CertiK, công ty bảo mật đã kiểm toán các hợp đồng thông minh của Akropolis, dường như đã bỏ sót hai vectơ tấn công được hacker sử dụng trong trường hợp này. Theo báo cáo, CertiK cũng đã tiến hành kiểm tra giao thức cho vay bZx, và giao thức này đã bị tấn công ba lần trong năm nay.
Dữ liệu từ công ty phân tích tiền điện tử CipherTrace được báo cáo vào thứ Ba cho thấy rằng mặc dù các vụ hack trên các giao thức DeFi “hầu như không đáng kể” vào năm 2019, nhưng hiện chúng chiếm 20% thiệt hại về tiền điện tử do trộm cắp và hack.
Báo cáo cho biết sự gia tăng trong DeFi là đã thu hút bọn tội phạm, dẫn đến nhiều vụ hack nhất trong năm nay”.
- Hacker kiếm được 10 triệu đô la mỗi tháng từ DeFi
- Gần 1 tỷ đô la bitcoin ví cá voi năm 2015 vừa được chuyển đi, hacker đã bẻ khóa thành công?
Thạch Sanh
Theo The Block