Các cuộc tấn công vay nhanh (flash loan) trên các giao thức tài chính phi tập trung (DeFi) đã diễn ra dày đặc và nhanh chóng trong vài tháng qua. Nạn nhân mới nhất là Bogged Finance.
Trong đợt phân tích kỹ lưỡng được công bố vào ngày 23 tháng 5, công ty bảo mật PeckShield đã trình bày chi tiết về vụ tấn công khiến một hacker kiếm được 3,6 triệu đô la.
Bogged Finance là một nền tảng DeFi cho phép người dùng nghiên cứu và đặt lệnh cho bất kỳ token nào trên Binance Smart Chain (BSC) bằng cách sử dụng nền tảng đặt lệnh giới hạn tận dụng tính thanh khoản của PancakeSwap.
Trong một cuộc tấn công kinh tế tương tự như cuộc tấn công nhắm vào PancakeBunny vào tuần trước, một hacker đã quản lý để tăng số dư token BOG trước khi bán chúng trên thị trường để thu lợi nhuận.
PeckShield nói thêm rằng, sự cố là do một lỗi cho phép hacker tăng số dư thông qua hình thức tự giao dịch.
Nguyên nhân khiến Bogged Finance bị tấn công
Cuộc tấn công bắt nguồn từ một lỗi trong hợp đồng thông minh token được thiết kế để giảm phát bằng cách tính phí 5% số tiền được chuyển. Trong số 5% đó, 1% được đốt và 4% được lấy làm phí cho lợi nhuận staking.
Hợp đồng chỉ tính phí 1% của số tiền đã chuyển nhưng vẫn tăng 4% như lợi nhuận staking. Lợi dụng điều này, hacker đã thực hiện nhiều đợt hoán đổi nhanh (flash swap) để liên tục thực hiện các lệnh tự giao dịch nhằm tăng lợi nhuận staking.
Chín giao dịch hoán đổi nhanh, rất giống với các khoản vay nhanh đã được sử dụng để thêm thanh khoản vào pool wBNB / BOG. Mỗi giao dịch hoán đổi đã tạo ra 47.770 BOG tiêu thụ 88.159 BNB được wrap với 83.440 token trên pool thanh khoản được đúc.
Các token LP này đã được gửi vào hợp đồng token BOG để chia sẻ lợi nhuận. Tên hacker đã thực hiện 434 lần tự giao dịch với tổng số tiền là 18,74 triệu BOG, dẫn đến số dư 151.000 BOG tăng lên do lỗi code hợp đồng. Hacker bán BOG trên thị trường, hoàn trả các khoản vay nhanh và thu về khoản lợi nhuận 3,6 triệu đô la.
Bogged Finance đã thông báo rằng nó sẽ được chuyển sang một hợp đồng mới và dự kiến sẽ đốt 7,5 triệu token BOG trong quá trình này.
“Chúng tôi sẽ airdrop token thanh khoản cho chủ sở hữu hợp pháp và sau đó BOG hoàn trả được sở hữu và mua cho chủ sở hữu của họ một cách hợp pháp”.
Giá BOG giảm về 0
Không có gì đáng ngạc nhiên, với khoảng một nửa thanh khoản bị xóa khỏi giao thức, giá BOG đã giảm xuống 0 vào Chủ nhật theo CoinGecko. Trước khi sụp đổ, nó được giao dịch ở mức khoảng 2 đô la.
Bogged Finance đã giải thích rằng họ đã tự loại bỏ thanh khoản còn lại để chuẩn bị cho việc chuyển sang hợp đồng mới và tái cân bằng nguồn cung.
- PancakeBunny sập 96% về $0 sau khi bị tấn công flash loan dẫn đến mất 200 triệu đô la tài sản crypto
- FinNexus (FNX) giảm 92% sau khi mất quyền kiểm soát – Hack thực sự hay kéo thảm?
Ông Giáo
Theo Beincrypto
