Hôm qua, Tạp chí Bitcoin đã báo cáo về việc sàn giao dịch phi tập trung (DEX) Velocore, hoạt động trên các blockchain Telos, zkSync Era và Linea, đã bị hack mất khoảng 6,8 triệu đô la thông qua lỗ hổng trong các hợp đồng thông minh kiểm soát pool thanh khoản.
Một hacker đã khai thác lỗ hổng trong overflow logic* để lừa Velocore biến một khoản rút tiền nhỏ thành một khoản tiền gửi lớn. Với sự trợ giúp của khoản vay nhanh (flash loan), hacker đã có thể rút cạn “volatile pool”* của Velocore trên zkSync Era và Linea, mặc dù team có thể bảo vệ tài sản của mình trên Telos. Các “stable pool” không bị ảnh hưởng.
Velocore viết trong báo cáo điều tra chuyên sâu:
“Mặc dù đã trải qua nhiều cuộc kiểm tra và triển khai các tính năng phòng ngừa để đảm bảo an ninh, nhưng sự cố bất ngờ này đã xảy ra. Chúng tôi chân thành xin lỗi những người dùng đã tin tưởng chúng tôi.”
Velocore cũng đã vô hiệu hóa lỗ hổng logic được sử dụng trong quá trình exploit, loại bỏ khả năng xảy ra một cuộc tấn công bắt chước.
Vụ việc đã khiến mạng Ethereum Layer 2 Linea của ConsenSys quyết định tạm dừng tạo block trong một nỗ lực không thành công nhằm giảm thiểu tổn thất từ cuộc tấn công.
“Bởi vì các biện pháp khác để đối phó với hoạt động exploit này đã bị đóng, nhóm của chúng tôi buộc phải tạm dừng trình sắp xếp chain để ngăn chặn tổn thất hơn nữa. Đây là hành động cuối cùng để bảo vệ người dùng trên Linea”.
Trong khi mục tiêu ban đầu của Linea là nhắm đến sự phân cấp đáng kể và muốn loại bỏ khả năng dừng mạng sau khi quá trình phân quyền đáng kể xảy ra, nhưng nhóm đã quyết định tạm dừng chain do:
“Hầu hết các L2, bao gồm cả Linea, vẫn dựa vào các hoạt động kỹ thuật tập trung có thể được tận dụng để bảo vệ những người tham gia hệ sinh thái. Giá trị cốt lõi của Linea là một môi trường không cần cấp phép, chống kiểm duyệt nên đó không phải là một quyết định mà chúng tôi xem nhẹ”.
Velocore đã liên hệ với hacker và đưa ra một thông báo tiền thưởng mũ trắng 10% để hoàn trả tiền trước 15:00 ngày 3 tháng 6 (giờ Việt Nam). Hacker vẫn chưa phản hồi và đã gửi khoảng 1.700 ETH, trị giá khoảng 7 triệu USD, đến máy trộn tiền điện tử Tornado Cash.
“Chúng tôi đã snapshot trạng thái blockchain trước khi xảy ra sự cố. Sau khi hoạt động trở lại, chúng tôi sẽ triển khai kế hoạch bồi thường phù hợp để giải quyết những tổn thất phát sinh cho người dùng”, sàn giao dịch hứa hẹn.
*Thuật ngữ “overflow logic” thường được sử dụng trong lập trình máy tính để chỉ việc xử lý các trường hợp khi giá trị của một biến vượt quá giới hạn tối đa của nó. Overflow xảy ra khi giá trị của một biến vượt quá phạm vi mà kiểu dữ liệu của biến đó có thể lưu trữ.
*”Volatile pool” thường ám chỉ các pool thanh khoản trong các giao thức DeFi mà các tỷ lệ cung cấp thanh khoản giữa các cặp tài sản có thể thay đổi nhanh chóng và với quy mô lớn.
Trong các pool thanh khoản thông thường, tỷ lệ cung cấp thanh khoản giữa các cặp tài sản thường được duy trì ổn định. Tuy nhiên, trong các “volatile pool”, tỷ lệ này có thể biến đổi đáng kể theo thời gian hoặc theo các yếu tố thị trường khác nhau. Điều này có thể xảy ra do sự dao động mạnh mẽ của giá tài sản, sự dao động lớn trong lượng giao dịch, hoặc các sự kiện thị trường không thể đoán trước khác.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter (X): https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- zkSync lên kế hoạch airdrop token quản trị
- Polyhedra chọn mã ký hiệu ‘ZKJ’ trên các sàn giao dịch trong bối cảnh xung đột với zkSync
Annie
Theo The Block
