Fei Protocol và Rari Capital là những nạn nhân mới nhất của một cuộc tấn công an ninh mạng dẫn đến thiệt hại hơn 80 triệu đô la, theo công ty bảo mật DeFi BlockSec.
Vào thứ 7, BlockSec đã tweet rằng hệ thống giám sát của họ phát hiện hoạt động khai thác nhiều luồng được kết nối với các giao thức tài chính phi tập trung đã lợi dụng lỗ hổng Reentrancy. Tấn công lỗi Reentrancy là một dạng khai thác hợp đồng thông minh về cơ bản cho phép kẻ tấn công lừa một giao thức để họ rút nguồn cung token thừa mà họ không thực sự sở hữu.
Dữ liệu on-chain cho thấy một hacker đã đánh cắp khoảng 80 triệu đô la từ các pool Fuse cho vay của Rari vào đầu ngày hôm qua.
Fei Protocol ngay sau đó đã xác nhận vụ tấn công, nhanh chóng tạm dừng tất cả các chức năng vay mượn để giảm thiểu thiệt hại. Giao thức cũng đề nghị thưởng 10 triệu đô la cho hacker nếu anh ta trả lại số tiền đánh cắp.
Công ty phân tích blockchain PeckShield cũng đã xác nhận cuộc tấn công, lưu ý rằng “lỗi reentrancy cũ lại xuất hiện một lần nữa”.
Fei Protocol là gì?
Fei Protocol là giao thức stablecoin thuật toán sử dụng mô hình Giá trị kiểm soát bởi giao thức (PCV) để quản lý stablecoin của họ, được chốt với đô la Mỹ.
Mặc dù mô hình này loại bỏ các rủi ro vòng xoáy tử thần hoặc thu nhập từ phát hành tiền, nhưng bất kỳ điều gì ảnh hưởng đến tài sản PCV đều có thể ảnh hưởng đến giá chốt. Sau thông báo hôm thứ 7, chốt giảm 0,4% và hiện ở mức 0,991 đô la.
Mặt khác, Rari Capital là giao thức cho vay không cần sự cho phép, giúp người dùng tạo các pool Fuse để họ có thể cung cấp và mượn token ERC-20. Năm ngoái, Fei Protocol và Rari Capital đã hợp nhất sau một đề xuất được cả hai cộng đồng ủng hộ. Mục đích của việc hợp nhất là tăng thêm thanh khoản cho các pool Fuse, trong đó FEI cung cấp thanh khoản cần thiết ban đầu.
Các pool Fuse của Rari chạy trên hệ sinh thái DeFi rộng lớn của Ethereum. Họ cung cấp một cách để tạo thị trường cho vay riêng biệt cho tất cả các loại tài sản được token hóa, mà nhiều giao thức cho vay lớn hơn với thanh khoản cao khác không có. Một trong những người dùng chính của Fuse là Fei. Fei cung cấp stablecoin FEI cho các thị trường cho vay của Fuse để tăng tính thanh khoản và làm cho stablecoin mạnh mẽ hơn.
BlockSec đã chia sẻ thêm ảnh chụp nhanh về cuộc tấn công cho thấy hacker đánh cắp Wrapped ETH. Như tình hình hiện tại, rất có thể hacker sẽ không chấp nhận đề nghị của Fei Protcol, vì đã bắt đầu rửa tiền thông qua Tornado Cash. Vào thời điểm viết bài, ví Ethereum của họ có xấp xỉ 22.673 ETH trị giá khoảng 63,75 triệu đô la.
Nguồn: Twitter
Nạn tấn công DeFi không hồi kết
Với cuộc tấn công này, số tiền bị thiệt hại do nạn khai thác trong năm nay tiếp tục tăng và có thể vượt qua năm 2021. Hơn 1 tỷ đô la đã bị đánh cắp trong quý 1 năm nay, bao gồm cả con số kỷ lục hơn 600 triệu đô la từ Axie Infinity. Cuộc tấn công này xảy ra một tháng sau khi Axie Infinity thông báo gặp nạn và trong cùng tuần đó, một số giao thức DeFi như Deus DAO và Saddle Finance cũng đã mất hàng triệu đô la do bị khai thác.
Như vậy, sự cố hôm nay chỉ là sự cố mới nhất trong một loạt vụ hack DeFi trị giá hàng triệu đô la trong những tháng gần đây. Vì Ethereum là trung tâm chính của DeFi ngày nay nên nó trở thành điểm nóng cho các cuộc tấn công bởi những kẻ cơ hội am hiểu Solidity biết cách đọc code viết kém. Solidity là ngôn ngữ code hóa của Ethereum, nhưng rất ít người trên thế giới hiểu được tường tận. Điều đó có nghĩa là ít khả năng kiểm toán tử tế hơn và những người có thể kiểm toán muốn kiếm được nhiều tiền hơn.
Điều thú vị là các vụ hack DeFi lớn nhất thường xảy ra vào cuối tuần, có thể vì hacker tin rằng team sẽ phản hồi chậm hơn và họ có nhiều cơ hội thoát tội hơn. Chỉ vài giờ sau cuộc tấn công của Rari, Saddle Finance đã bị khai thác tương tự gây thiệt hại đến bảy con số. Vào ngày 17/4, Beanstalk đã thất thoát khoảng 76 triệu đô la. DEUS Finance cũng bị tấn công hôm thứ 5 khi hacker kiếm được khoảng 13,4 triệu đô la. Mặc dù DeFi được biết đến với vô số vụ hack, những kẻ xấu đang ngày càng nhắm vào các cộng đồng NFT như Bored Ape Yacht Club khi giá của các tài sản được săn lùng tăng vọt. Đối với người dùng Web3, làn sóng tấn công bất tận sẽ như một lời nhắc nhở về những rủi ro liên quan đến việc sử dụng Ethereum và công nghệ tiền điện tử còn non trẻ.
Đăng ký tài khoản Binance tại đây (giảm 10% phí giao dịch Spot, Margin và Futures): https://accounts.binance.com/en/register?ref=29171587
Tham gia Telegram của Tạp Chí Bitcoin để theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn
- SEC thực hiện nỗ lực mới để bảo mật các email của William Hinman trong cuộc chiến với Ripple
- Hacker vừa ‘ghé thăm’ AkuDreams và BAYC, lấy đi hàng chục triệu đô la
- Hacker chiếm đoạt 1 triệu USD từ dự án Defi và chuyển vào ‘hợp đồng tự hủy’
Đình Đình
Theo AZCoin News