Nền tảng cho vay Fulcrum dựa trên Ethereum đã mất 350.000 đô la do một lỗ hổng trong hợp đồng thông minh

Nền tảng cho vay Fulcrum dựa trên Ethereum đã trở thành nạn nhân của một cuộc tấn công. Vụ tấn công xảy ra trong khoảng thời gian từ ngày 14 đến 15 tháng 2 khi những kẻ tấn công lợi dụng lỗ hổng trong giao thức cho vay trên nền tảng.

Flashloans là gì?

Flashloans là block xây dựng mới nhất, một hoạt động dựa trên code – nơi bạn nhận được tiền mà không cần bất kỳ điều kiện nào vì code của bạn đảm bảo nó sẽ được trả lại sau 15 giây (một block). Đối với các khoản vay flash, tất cả các hành động phải được thực hiện trong một giao dịch. Vì vậy, bạn phải lập trình tất cả các bước thành một giao dịch hợp đồng thông minh: cho vay, làm việc, trả nợ. Nếu cuối cùng bạn không trả lại, giao dịch sẽ thất bại và sẽ không có gì xảy ra.

Vì vậy, hợp đồng cung cấp cho bạn 10.000 ETH ngay từ đầu. Nếu cuối cùng nó không có 10.000 ETH, thì việc giao dịch thất bại vì các node thực hiện các giao dịch nội bộ và hoàn nguyên toàn bộ thay đổi nếu thất bại. Vì vậy, các kế toán viên, các node, nhìn vào mã này và nếu cuối cùng, 10.000 ETH được trả lại, họ thực thi nó và xuất bản nó, vì vậy biến nó thành hệ thống trực tiếp. Nếu thay vào đó, việc thực thi tất cả các hành động nguồn mở này cho thấy 10.000 ETH không được trả lại, thì họ đã không xuất bản nó.

Tuy nhiên, đây không phải là phát minh duy nhất trong không gian tài chính phi tập trung. Fulcrum là một ví dụ khi nói đến siêu thanh khoản. Nhưng cuối cùng, một cái gì đó đã đi sai.

Cuộc tấn công xảy ra trong một số giai đoạn. Đầu tiên, kẻ tấn công đã mượn 10.000 ETH flash. Sau đó, hắn đã sử dụng một nửa số ETH để nhận một khoản vay khác bằng Bitcoin (wBTC) thông qua giao thức Compound. Nửa còn lại của ETH đã đến Fulcrum làm tài sản thế chấp cho cá cược wBTC. Kẻ tấn công đang đặt cược rằng giá của wBTC sẽ được giảm xuống. Kẻ tấn công sau đó đã chuyển wBTC vào Uniswap và khiến giá giảm xuống để kiếm lợi từ tiền ngắn hạn trên Fulcrum và trả hết khoản vay flash ban đầu.

2/ Full details and bZx’s post-mortem have not been released yet. However, the community believes this tx was the inciting tx: https://t.co/e4cCaZ4xZh

– A complex single-transaction exploit utilizing a 10k ETH flash loan from dYdX, half placed into Compound and half into Fulcrum pic.twitter.com/xDhYWwamdP

— DeFi Pulse 🍇 (@defipulse) February 15, 2020

Nền tảng Fulcrum đã ngừng hoạt động trong khi các cuộc điều tra đang được tiến hành. Fulcrum là một Dapp tập trung vào UX để cho vay và giao dịch được ra mắt vào tháng 6 năm 2019. Dapp sử dụng giao thức bZx phi tập trung cho phép các Dapps bản địa của nó giao dịch và cho vay margin.

bZx không nói mất bao nhiêu tiền

Cuộc tấn công vào Fulcrum rất phức tạp vì nhiều lý do. Công ty đứng sau nền tảng này, bZx, đã tham gia một cuộc thi hackathon với cộng đồng Ethereum. Kết quả là phản ứng của bZx đã bị trì hoãn.

1/ ⚠️ Mini-thread on the Fulcrum situation ⚠️
TLDR:
– @bzxHQ took Fulcrum down for maintainence late last night
– Shortly after, team member Kyle Kistner disclosed that an exploit caused the loss of a portion of Fulcrum’s ETH
– Fulcrum contract is frozen, remaining funds are safe pic.twitter.com/TLUnbxLooh

— DeFi Pulse 🍇 (@defipulse) February 15, 2020

Người đồng sáng lập BZx, Kyle Kistner, đã tuyên bố vào ngày 15 tháng 2 rằng đã có kẻ vi phạm hợp đồng và đã lấy đi một phần của ETH. Hợp đồng cho vay hiện tại đang ngưng hoạt động. Kitstner tuyên bố rằng không có khoản tiền nào bị xâm phạm, nhưng không đưa ra một số tiền bị mất cụ thể. Người ta ước tính rằng kẻ tấn công có thể đã kiếm được lợi nhuận 350.000 đô la ETH.

Công ty đứng sau bZx cho biết do sự phức tạp của giao dịch, cần có thời gian để hiểu chính xác tổn thất là gì. Hơn nữa, họ cho rằng các cuộc tấn công không chỉ là sự hoán đổi trong Uniswap và bZx .

BZx tuyên bố:

“Chúng tôi đã thực hiện nâng cấp hợp đồng mà chúng tôi tin rằng sẽ làm cho hệ thống của chúng tôi mạnh hơn chống lại các loại hành động này trong tương lai. Bản cập nhật hiện đang được xử lý thông qua bảng thời gian của chúng tôi. Nó sẽ vượt qua trong 12 giờ tới. Vào thời điểm đó, chúng tôi hy vọng sẽ khởi động lại giao diện người dùng”.

Công ty nhắc lại rằng người dùng không bị mất tiền. bZx cũng tiết lộ rằng kẻ tấn công đã để lại 600.000 wBTC làm tài sản thế chấp:

3/ There is currently 600k of wBTC collateral left by the attacker. We will be using this to stream interest and exit liquidity to existing iETH holders. This will be done using our admin key. This is an extremely difficult decision for us that we don’t take lightly.

— bZx (@bzxHQ) February 15, 2020

Người ta ước tính rằng Fulcrum sẽ trở lại vào lúc 10:30 PM MTS. Sau đó, họ sẽ xuất bản một báo cáo chi tiết hơn về cuộc tấn công và mức độ phức tạp của nó. Tuy nhiên, công ty đã bị chỉ trích bởi nhiều người dùng Fulcrum. Một số yêu cầu minh bạch hơn về các sự kiện và những người khác chỉ trích việc sử dụng các khóa hành chính. Cơ chế này mang lại cho bZx toàn quyền kiểm soát hợp đồng tại Fulcrum.

Điều buồn cười là sau khi Charlie Lee, đồng sáng lập Litecoin, lên tiếng về vụ việc, anh đã bị một người dùng Twitter cười nhạo.

you forgot to mention that it was about ETH DeFi.
you sure wouldn’t say so about DeFi on your friend Justin’s platform TRON, right he-he?

— 🤤 (@peengueen94) February 16, 2020

Tuy nhiên, có vẻ như sau đó Lee đã cố gắng khắc phục sự bối rối bằng cách nói rằng DeFi hoạt động trên bất kỳ nền tảng nào cũng không tốt.

DeFi doesn’t work on any platform.

— Charlie Lee [LTC⚡] (@SatoshiLite) February 16, 2020

• Lừa đảo Bitcoin và Ethereum bằng cách mạo danh tổng thống Donald Trump và những người nổi tiếng
• Tại sao sàn giao dịch không delist đồng coin có vốn hóa nhỏ và dễ bị tấn công 51%

Ông Giáo

Theo AZCoin News