Nền tảng cho vay phi tập trung Polter Finance vừa hứng chịu một vụ exploit (tấn công khai thác) nghiêm trọng trên blockchain Fantom, dẫn đến thiệt hại gần như toàn bộ tài sản.
Vụ việc được phát hiện vào sáng chủ nhật, khi kẻ tấn công lợi dụng lỗ hổng trong cơ chế định giá token của nền tảng để thao túng giá, gây sốc cho cộng đồng người dùng.
Ban đầu, kẻ tấn công chuyển tiền thông qua Tornado Cash, một công cụ trộn tiền trên Ethereum, nhằm che giấu nguồn gốc tiền. Sau đó, những tài sản này được chuyển từ Ethereum sang Fantom thông qua cầu nối và thực hiện vụ exploit tại đây.
Sau khi xác định được vụ xâm phạm, Polter Finance đã hành động ngay lập tức, tạm dừng nền tảng để hạn chế thiệt hại và thông báo cho các nhà vận hành cầu nối chính.
Nhà sáng lập ẩn danh của Polter Finance, được gọi là “Whichghost”, đã ngay lập tức báo cảnh sát Singapore sau vụ xâm phạm. Vụ hack đã gây ra thiệt hại hơn 16,1 triệu đô la Singapore (khoảng 12 triệu đô la Mỹ).
Theo báo cáo, hợp đồng thông minh mới triển khai trên nền tảng đã bị exploit, tạo lỗ hổng cho các giao dịch trái phép rút cạn tài sản của người dùng. Nhà sáng lập cũng báo cáo thiệt hại cá nhân là 223.219 đô la.
Trong khi báo cáo của cảnh sát tuyên bố tổng thiệt hại khoảng 12 triệu đô la, các báo cáo khác từ các công ty bảo mật web3 cho thấy số tiền thực tế bị đánh cắp gần 7 triệu đô la.
Theo dữ liệu của DeFi Llama, TVL của Polter Finance là khoảng 9,7 triệu đô la trước vụ tấn công, cho thấy tổn thất đáng kể.
Trong một tuyên bố trên X (trước đây là Twitter), team đã viết:
“Chúng tôi đã xác định được các ví liên quan và truy dấu vết đến Binance. Chúng tôi vẫn đang điều tra bản chất của vụ exploit và đang trong quá trình liên hệ với các cơ quan chức năng”.
Nền tảng này cũng đã gửi một tin nhắn on-chain cho kẻ tấn công, nói rằng team sẵn sàng đàm phán mà không theo đuổi hành động pháp lý nếu số tiền bị đánh cắp được trả lại.
Các chuyên gia bảo mật Web3 cho rằng nguyên nhân gốc rễ của vụ exploit có liên quan đến tấn công thao túng giá bằng cách sử dụng oracle – nguồn cấp dữ liệu bên ngoài mà các nền tảng sử dụng để xác định giá token.
Công ty kiểm toán hợp đồng thông minh QuillAudits cũng đã chia sẻ những phát hiện của họ, cho thấy vấn đề bắt nguồn từ cách Polter Finance tính toán giá trị của token SpookySwap (BOO).
“Giá SpookySwap (BOO) trong pool cho vay được xác định theo giá giao ngay từ pool SpookySwap v3 và cặp v2, được tính toán dựa trên tỷ lệ số dư token trong pool”.
Bằng cách tăng giá BOO một cách giả tạo, hacker có thể gửi số tiền rất nhỏ (chỉ 1 BOO) và rút nhiều tài sản khác có giá trị lớn hơn, mà về cơ bản là rút cạn tiền của nền tảng.
“Trường hợp này là điển hình của kiểu exploit thao túng oracle cổ điển. Kẻ tấn công thao túng giá BOO bằng cách sử dụng flash loan (khoản vay nhanh) để tăng giá BOO một cách giả tạo”.
Polter Finance thông báo đang hợp tác với Trung tâm phân tích và chia sẻ thông tin của Liên minh bảo mật (SEAL-ISAC) để truy tìm hacker.
Polter Finance chỉ là nạn nhân mới nhất trong danh sách ngày càng dài các vụ xâm phạm bảo mật trong lĩnh vực tiền điện tử. Tổng số tiền bị mất do các vụ exploit đã vượt mốc 2 tỷ đô la chỉ riêng trong năm 2024, trong đó các lỗ hổng code gây ra thiệt hại 39,6 triệu đô la trong 44 sự cố, theo báo cáo gần đây của Certik.
Tham gia Telegram: https://t.me/tapchibitcoinvn
Twitter (X): https://twitter.com/tapchibtc_io
Tiktok: https://www.tiktok.com/@tapchibitcoin
- Hacker đồng ý trả lại tiền cho giao thức Defi Thala hệ Aptos sau khi đánh cắp 25,5 triệu đô la
- Ấn Độ bắt giữ nghi phạm chính trong vụ hack sàn WazirX trị giá 235 triệu đô la
- Một thành phố Hàn Quốc đe dọa tịch thu và bán tiền điện tử của người nợ thuế
Minh Anh
Theo Decrypt
