DEX Clipper bị hack 450.000 USD do lỗ hổng trong chức năng rút tiền

Sàn giao dịch phi tập trung (DEX) Clipper đã làm rõ nguyên nhân vụ hack 450.000 USD gần đây, khẳng định rằng lỗ hổng trong chức năng rút tiền là nguyên nhân chính chứ không phải rò rỉ khóa riêng tư như một số bên thứ ba đã đề xuất.

Trong một bài đăng trên X vào ngày 1 tháng 12, Clipper cho biết kẻ tấn công đã khai thác hai pool thanh khoản trong cùng một ngày, chiếm khoảng 6% tổng giá trị bị khóa (TVL) của nền tảng. Công ty cũng khẳng định rằng không có pool nào khác bị ảnh hưởng và vụ tấn công đã được ngăn chặn.

“Đã có một số tuyên bố từ bên thứ ba cho rằng vụ việc liên quan đến rò rỉ khóa riêng tư. Tuy nhiên, chúng tôi xin khẳng định rằng đây không phải là nguyên nhân và điều này hoàn toàn không phù hợp với thiết kế và kiến trúc bảo mật của Clipper.”

Công ty cũng làm rõ rằng tính năng rút tiền dưới dạng một token duy nhất (bao gồm swap và gửi/rút tiền) đã bị vô hiệu hóa, vì đây là tính năng đã bị kẻ tấn công lợi dụng trong vụ hack.

Trước đó, Chaofan Shou, đồng sáng lập công ty bảo mật Fuzzland, đã đăng tải trên X rằng Clipper bị tấn công do “lỗ hổng API (bao gồm rò rỉ khóa riêng tư)”, và cho rằng API này có thể tồn tại lỗ hổng cho phép kẻ tấn công ký các yêu cầu gửi và rút tiền, qua đó rút được nhiều tiền hơn số tiền mà họ đã gửi vào.

With the team pausing the protocol, here’s a detailed breakdown of what occurred during the hack:

The smart contract relies on an API to sign both deposit and withdrawal requests before users can execute these actions. Once signed, the contract facilitates the transfer of pool… pic.twitter.com/D46mBfr2JQ

— Chaofan Shou (@shoucccc) December 1, 2024

Clipper cho biết họ đang tiến hành điều tra vụ việc và sẽ cung cấp thông tin cập nhật trong thời gian sớm nhất. Đồng thời, công ty đã tạm dừng chức năng swap và gửi tiền trên giao thức trong khi tiếp tục điều tra. Mặc dù vậy, tính năng rút tiền vẫn hoạt động, nhưng điều kiện là số tiền rút phải nằm trong “hỗn hợp tài sản” từ tất cả các pool thanh khoản mà nền tảng đang quản lý.

Dự án cũng thông báo đã bắt đầu theo dõi số tiền bị đánh cắp với hy vọng có thể thu hồi, đồng thời yêu cầu kẻ tấn công liên hệ với nhóm phát triển nếu muốn trao đổi về vụ việc.

Vụ tấn công này đã góp phần làm tăng tổng giá trị tiền điện tử bị đánh cắp trong năm 2024 lên hơn 1,48 tỷ USD tính đến cuối tháng 11, giảm 15% so với cùng kỳ năm ngoái, theo báo cáo của Immunefi công bố vào ngày 28 tháng 11.

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

• Hoa Kỳ buộc tội 5 thủ phạm trong âm mưu hack 11 triệu đô la tiền điện tử 
• Hàn Quốc xác nhận Triều Tiên đứng sau vụ hack Upbit trị giá 50 triệu USD

Annie

Theo Cointelegraph