Với lĩnh vực DeFi, các vụ hack và khai thác code không phải hiếm.
Các nhà đầu tư gửi tiền vào giao thức chưa được chứng minh với hy vọng thu lợi nhuận cao – nhưng một lỗi nhỏ hoặc tính toán sai trong code có thể cho phép hacker bòn rút tiền của họ.
Nhưng đôi khi mối đe dọa không đến từ kỹ thuật mà là từ các nhà phát triển của chính giao thức hoặc những người có liên quan.
Những sự cố như vậy được giới DeFi gọi là “kéo thảm” – một cụm từ gợi lên hình ảnh người chủ nhà ân cần trải tấm thảm chào đón khách của mình, chỉ để kéo nó ra khỏi chân họ khi họ bước vào nhà.
Theo dữ liệu từ công ty bảo mật blockchain Quantstamp, các vụ lừa đảo liên quan gây thiệt hại lên tới 760 triệu đô la vào năm ngoái.
Nguồn: Quantstamp
Kéo thảm cũng là loại tấn công tiền điện tử phổ biến nhất, theo báo cáo quý 3 từ công ty kiểm toán bảo mật blockchain Hacken.
Trong một năm mà những kẻ xấu đã đánh cắp 1,7 tỷ đô la tiền điện tử, những vụ kéo thảm chiếm phần đáng kể trong số tổn thất.
Bài viết sẽ điểm lại một số sự kiện nghiêm trọng.
BALD: 6 triệu đô la vào tháng 7
Khi blockchain Base của Coinbase được kích hoạt nhưng chưa ra mắt vào cuối tháng 7, những người dùng háo hức đã đổ hơn 58 triệu đô la vào chain trong vòng 24 giờ đầu tiên.
Với một số giao thức DeFi và token được triển khai trên Base vào thời điểm đó, nhiều người trong số những người tham gia sớm này đã đặt cược vào BALD, một loại memecoin lấy cảm hứng từ chiếc đầu hói của CEO Coinbase Brain Armstrong.
Được thúc đẩy bởi việc người tạo token BALD ẩn danh gửi hàng triệu đô la thanh khoản vào pool giao dịch của mình – một dấu hiệu mà nhiều người coi là bằng chứng cho thấy anh ta đáng tin cậy, token này đã tăng chóng mặt 3.000% sau khi ra mắt.
Nhưng bữa tiệc chỉ diễn ra trong thời gian ngắn.
Ngày hôm sau, người này đã rút thanh khoản, ngay lập tức khiến token giảm khoảng 97% – một hành động kéo thảm kinh điển.
Phân tích dữ liệu onchain cho thấy bằng cách rút thanh khoản, người tạo BALD đã kiếm được khoảng 6 triệu đô la.
Magnate Finance: 6,4 triệu đô la trong tháng 8
Kéo thảm bị nghi ngờ là phương thức tấn công phổ biến nhất trong lĩnh vực tiền điện tử vì một lý do chính – tính chất nối tiếp của những người tỏ ra có trách nhiệm.
Lấy trường hợp của Magnate Finance làm ví dụ. Giao thức này được ra mắt trên Base vào tháng 8 và trong thời gian ngắn đã trở thành dự án lớn của blockchain này với 6,4 triệu đô la tiền gửi.
Nguồn: DefiLlama
Các bản ghi onchain cho thấy giao thức được liên kết với các ví giống như ví gắn với lần kéo thảm trước đó tại Solfire Finance. Các nhà nghiên cứu bảo mật bao gồm thám tử blockchain ZachXBT nêu bật những bản ghi này đầu tiên.
Theo một phân tích từ công ty kiểm toán blockchain QuillAudits, các nhà phát triển của Magnate Finance đã sử dụng quyền kiểm soát của họ đối với giao thức để “thao túng” oracle giá mà giao thức dựa vào để định giá chính xác các tài sản kỹ thuật số được gửi vào.
Theo công ty bảo mật blockchain PeckShield, điều này cho phép họ rút tất cả tiền gửi trị giá 6,4 triệu đô la của người dùng.
Kokomo Finance: 5,5 triệu đô la vào tháng 3
Theo công ty bảo mật blockchain Beosin Alert, trước khi biến mất với 6,4 triệu đô la tiền đầu tư từ Magnate Finance, các cá nhân sử dụng cùng địa chỉ ví đã thực hiện trò kéo thảm tương tự với một dự án khác 5 tháng trước đó.
Nạn nhân là nhà đầu tư của Kokomo Finance, một giao thức cho vay DeFi trên mạng Ethereum layer 2 Optimism.
Theo QuillAudits, các nhà phát triển của Kokomo đã dàn dựng chiêu dụ dỗ “treo đầu dê bán thịt chó” phức tạp bằng cách triển khai code hợp pháp, sau đó quay lại triển khai độc hại sau khi người dùng đã gửi hơn 5,5 triệu đô la.
Trang web và hồ sơ mạng xã hội của dự án đã bị xóa ngay sau đó, một hiện tượng thường xảy ra trong các vụ có dấu hiệu kéo thảm.
Xirtam: 3,4 triệu đô la và Swaprum: 3 triệu đô la trong tháng 5
Sự cố Xirtam và Swaprum là hai sự cố bị nghi ngờ khác xảy ra trong tháng 5, gây thiệt hại lần lượt 3,4 triệu đô la và 3 triệu đô la.
Hành vi bị cáo buộc kéo thảm của Swaprum có thể do một tính năng cho phép những người trong cuộc nâng cấp hợp đồng thông minh sau khi triển khai và rút tiền của nhà đầu tư.
Chỉ những người có quyền truy cập đặc biệt vào hợp đồng thông minh của dự án mới có thể thực hiện những thay đổi đó – thường là thực tế để các nhà nghiên cứu bảo mật và thám tử onchain xác định xem liệu sự cố mất vốn có phải là kéo thảm hay không.
Có thể một tác nhân bên ngoài sẽ lừa người trong cuộc từ bỏ quyền kiểm soát hợp đồng thông minh. Nhưng sự xuất hiện như vậy sẽ hiển thị trong dữ liệu onchain.
Nếu không, bằng chứng nghi ngờ kéo thảm sẽ trở nên mạnh hơn.
Hai triệu nạn nhân
Theo nghiên cứu của tổ chức giám sát giao dịch tiền điện tử Solidus Labs, hơn 2 triệu nhà đầu tư bị ảnh hưởng bởi kiểu lừa đảo kéo thảm.
Nguồn: Solidus Labs
Dữ liệu của Solidus cho thấy, những kẻ bị cáo buộc là kéo thảm – một số trong số họ dường như phạm tội hàng loạt thực hiện nhiều dự án lừa đảo như vậy hơn mỗi năm.
Chúng sử dụng một hoặc kết hợp tối đa 7 phương thức tấn công để chiếm đoạt số tiền ký gửi, khiến các nhà đầu tư rơi vào tình trạng than trời.
Đôi khi, chúng tung ra cái gọi là honeypots – các dự án có code bị lỗi ngăn cản nhà đầu tư bán token. Những lần khác, chúng tạo backdoor trong code để cho phép đúc thêm nhiều token hơn sau khi dump trên thị trường.
Tự thú nhận kéo thảm
Nhiều người trong số những kẻ bị nghi ngờ này đã chuyển tiền qua các dịch vụ trộn tiền điện tử như Tornado Cash để xóa dấu vết.
Nhưng, lưới trời tuy thưa nhưng khó thoát.
Điển hình như trường hợp của Aurelien Michel, quốc tịch Pháp sống tại UAE, bị cáo buộc từ bỏ bộ sưu tập Mutant Ape Planet NFT mà anh ta đã tạo ra trong một lần kéo thảm tự thú nhận.
Aurelien bị bắt vào tháng 1 vì tham gia vào vụ kéo thảm gây thiệt hại 2,9 triệu đô la, đã nhận tội vào tháng 11 và có thể phải đối mặt với án tù 5 năm, cộng thêm khoản tiền phạt 1,4 triệu đô la.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter (X): https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- Dự đoán DeFi cho năm 2024: Tín dụng tư nhân
- Danh sách 13 dự án kéo thảm khiến nhà đầu tư mất 2,7 triệu đô la
- Thợ đào Bitcoin, cổ phiếu MicroStrategy tăng hai chữ số khi BTC đạt 50.300 đô la
Minh Anh
Theo DLNews