Dự án ForceDAO bị hack sau khi ra mắt vài giờ

Tiền điện tử vẫn là một không gian mang tính thử nghiệm cao.

ForceDAO là một dự án DeFi mới nhất đã bị tấn công bởi năm hacker vào sáng nay, làm hồi sinh những lo ngại xung quanh lĩnh vực mang tính thử nghiệm cao và những khoản tiền dường như không ngừng chảy vào các dự án hàng giờ liền.

ATTENTION

Our team is aware of the xFORCE contract exploit and has identified the nature of the issue.

There are no further funds available on the xFORCE contract to be exploited.

All other vaults are safe.

We will provide a post-mortem and next steps over the coming hours.

— Force (@force_dao) April 4, 2021

“CHÚ Ý

Team của chúng tôi đã biết về việc tấn công hợp đồng xFORCE và đã xác định được bản chất của vấn đề.

Hợp đồng xFORCE không còn tiền để bị tấn công.

Tất cả các Vault khác đều an toàn.

Chúng tôi sẽ kiểm tra và thực hiện các bước tiếp theo trong những giờ tới”.

Một ngày mới, một vụ hack DeFi mới

Dự án dựa trên Ethereum tự mô phỏng mình như một tổ chức tự trị phi tập trung (DAO) cho tài chính lượng tử. Nó nhằm mục đích tận dụng lợi nhuận cao từ các giao thức DeFi mang lại lợi nhuận và tạo ra lợi nhuận vượt trội bằng cách tuân thủ các chiến lược do cộng đồng đề xuất và thưởng cho các chiến lược gia bằng những biện pháp khuyến khích mạnh mẽ.

This seems to be the exploiter for $XFORCEhttps://t.co/WS649tJ1Fe

> Minted $XFORCE
> Withdrew $FORCE using minted $XFORCE
> Sold $FORCE through 1inch

Don’t seem to really care about opsec seeing how the initial funds are seeded from FTX

🤷‍♂️

— defiOWL (@OwOtrades) April 4, 2021

“Đây dường như là kẻ tấn công XFORCE https:t.co/WS649tJ1Fe

• Đã đúc XFORCE
• Đã rút FORCE bằng cách sử dụng XFORCE được đúc
• Bán FORCE đến 1Inch

Có vẻ như không thực sự quan tâm đến Opsec, xem cách các khoản tiền ban đầu được tạo ra từ FTX”.

Tuần trước, các nhà phát triển của giao thức cho biết sẽ “airdrop” token cho người dùng các giao thức DeFi khác để đảm bảo ra mắt công bằng và thu hút nhiều cộng đồng tiền điện tử khác nhau cho riêng họ. Tổng cộng 25 triệu token FORCE (trong số 100 triệu nguồn cung cố định) sẽ được phân phối trong tháng tới cho những người stake trên Aave, Alchemix, Badger, Balancer, Curve, Maker DAO, Synthetix, Sushi, Vesper và Yearn Finance.

Nhưng sáng nay, mọi thứ trên airdrop được chờ đợi nhiều đã trở nên tồi tệ. Nó đã bị tấn công bởi 5 hacker trong vài giờ sau khi airdrop, khiến giá FORCE lao dốc hơn 90% trong một đợt giảm đột ngột.

Interesting situation going on with ForceDAO. Liquidity has been withdrawn, price is down 90%+ and there are indications that it could have been a white hat “hack” pic.twitter.com/Y5aUcvvuG0

— Larry Cermak (@lawmaster) April 4, 2021

“Tình huống thú vị đang diễn ra với ForceDAO. Thanh khoản đã bị rút lại, giá giảm hơn 90% và có dấu hiệu cho thấy đó có thể là một “vụ hack” từ những hacker mũ trắng”.

Ngày ForceDAO bị tấn công

Mudit Gupta, lãnh đạo blockchain tại Polymath Network đã lên Twitter để giải thích những gì đã xảy ra. Theo anh ta, các hacker đã tấn công một vấn đề về Solidity (Solidity là code cơ bản của Ethereum), cho phép người dùng có được token FORCE thông qua một quy trình bất hợp pháp.

Các hacker đã có thể thao túng cách token xFORCE (phiên bản “chịu lãi suất” của FORCE đại diện cho phần của một người trong pool chia sẻ lợi nhuận FORCE) được xử lý trên nền tảng và đổi lại nhận được các token FORCE.

xFORCE contract from @force_dao hacked and drained by a whitehacker. In the FORCE token, the transfer functions return false rather than reverting when the sender doesn’t have enough balance. The xFORCE contract assumes FORCE will revert and does not handle the returned value. pic.twitter.com/lPo9vJ48bs

— Mudit Gupta (@Mudit__Gupta) April 4, 2021

“Hợp đồng xFORCE từ Force_Dao bị những kẻ hacker tấn công và rút cạn bởi hacker mũ trắng (white hacker). Trong token FORCE, các hàm chuyển trả về false thay vì hoàn nguyên khi người gửi không có đủ số dư. Hợp đồng xFORCE giả định FORCE sẽ hoàn nguyên và không xử lý giá trị trả về”.

Anh ấy nói thêm:

“Điều này có nghĩa là bất kỳ ai cũng có thể call chức năng tiền gửi của hợp đồng xFORCE ngay cả khi họ không có bất kỳ token FORCE nào. Hợp đồng xFORCE sẽ đúc cho họ các token xFORCE mới mặc dù nó sẽ không khóa các token FORCE không tồn tại của chúng”.

Gupta tuyên bố rằng, dường như năm hacker đã tấn công dự án sau khi xem xét các địa chỉ khác nhau mà các hacker bị cáo buộc đã thực hiện cuộc tấn công của họ. Một người là hacker mũ trắng đã nhanh chóng trả lại tiền cho mạng lưới, nhưng những người khác đã bán số tiền thu được của họ.

Hacker 4 – Drained about 300k FORCE tokens, sold most of them on DEXs for ~50 ETH ($100k).https://t.co/YME1GUGpib

Hacker 5 – Drained about 1.1m FORCE tokens, sold some for ~45 ETH ($95k).https://t.co/1upadhvjOU@etherscan Can you please tag these accounts as hackers as well?

— Mudit Gupta (@Mudit__Gupta) April 4, 2021

“Hacker 4 – Rút khoảng 300.000 token FORCE, bán hầu hết chúng trên DEX với giá khoảng 50 ETH (100.000 đô la). Https://t.co/YME1GUGpib

Hacker 5 – Rút khoảng 1,1 triệu token FORCE, được bán một số với giá 45 ETH (95.000 đô la). Https://t.co/1upadhvjOU Etherscan, bạn có thể tag các tài khoản này là hacker không?”

Gần 350.000 đô la ETH đã bị hacker bán tháo. Về phần mình, ForceDAO đã đưa ra một lời khuyên cảnh báo người dùng tránh giao dịch trên bất kỳ sàn giao dịch nào cho đến khi vấn đề được giải quyết. Team nghiên cứu đã không đưa ra bất kỳ tuyên bố nào khác tính đến thời điểm báo chí.

(*) – Opsec – Xác định thông tin nào được công bố công khai trong quá trình hoạt động bình thường mà đối thủ cạnh tranh hoặc kẻ thù có thể sử dụng để có lợi cho mình. OPSEC là một hoạt động quân sự phổ biến cũng được áp dụng cho các dự án dân sự như phát triển các sản phẩm và công nghệ mới.

• 533 triệu tài khoản Facebook vừa bị rò rỉ dữ liệu, người dùng tiền điện tử có nguy cơ tương tự
• Hai nhân viên đổi tiền ở Hồng Kông bị lừa gần 500.000 đô la Mỹ sau khi mua Bitcoin trực tiếp

Ông Giáo

Theo Cryptoslate