Top 7 vụ hack DeFi trong tháng 2 với 21 triệu USD bị đánh cắp

Theo DefiLlama, một trong những vụ hack lớn nhất trong tháng 2 là cuộc tấn công reentrancy* flash loan vào Platypus Finance, dẫn đến 8,5 triệu USD bị thất thoát. Bên cạnh đó, DefiLlama cũng nêu bật sáu vụ hack đáng chú ý khác trong tháng.

*Một cuộc tấn công reentrancy xảy ra khi kẻ tấn công rút tiền từ mục tiêu bằng cách gọi đệ quy chức năng rút tiền mục tiêu, như trường hợp của DAO. Khi hợp đồng không cập nhật trạng thái (số dư người dùng) trước khi gửi tiền, kẻ tấn công có thể liên tục gọi chức năng rút tiền để rút hết tiền trong hợp đồng.

#1: BonqDAO: 1,7 triệu USD

BonqDAO đã bị tấn công bằng cách thao túng giá token AllianceBlock (ALBT). Cụ thể, hacker ban đầu làm tăng giá ALBT và đúc một lượng lớn BEUR. BEUR sau đó đã được swap cho các token khác trên Uniswap. Sau đó, giá giảm xuống gần như bằng không, kích hoạt việc thanh lý các khoản ALBT.

Công ty bảo mật PeckShield ước tính thiệt hại vào khoảng 120 triệu USD nhưng hacker chỉ rút được khoảng 1 triệu USD do thiếu thanh khoản trên BonqDAO.

#2: Orion Protocol: 3 triệu USD

Sàn giao dịch phi tập trung Orion Protocol đã bị thiệt hại khoảng 3 triệu USD vào ngày 2 tháng 2 thông qua một cuộc tấn công reentrancy trong đó những tay hacker đã sử dụng các hợp đồng thông minh độc hại để rút tiền từ mục tiêu bằng các lệnh rút tiền lặp đi lặp lại.

We have been investigating this very sophisticated attack from the minutes it occurred. We will not reopen the Deposit function until we feel confident that the bug has been fixed which will only be after successfully passing new audits from leading audit firms.

— Alexey Koloskov (@alexeykoloskov) February 2, 2023

Giám đốc điều hành của Orion Protocol, Alexey Koloskov, đã xác nhận vụ tấn công vào thời điểm đó nhưng vẫn đảm bảo với mọi người rằng “Tất cả tiền của người dùng đều an toàn và bảo mật. Chúng tôi có lý do để tin rằng sự cố không phải do bất kỳ thiếu sót nào trong code giao thức cốt lõi của chúng tôi, mà có thể do lỗ hổng trong việc trộn các dữ liệu của bên thứ ba vào một trong các hợp đồng thông minh được sử dụng bởi các nhà môi giới tư nhân và thử nghiệm của chúng tôi”.

#3: dForce Network: 3.65 triệu USD

dForce Network là một nạn nhân khác trong tháng 2 bởi một cuộc tấn công reentrancy, dẫn đến thiệt hại khoảng 3,65 triệu USD.

Trong một bài đăng ngày 10 tháng 2, dForce đã xác nhận vụ tấn công; tuy nhiên, trong một bước ngoặt khác, tất cả số tiền đã được trả lại khi người tấn công là một hackter mũ trắng.

3/5 We would like to thank our community, ecosystem partners and friends for their support, particularly, SlowMist @SlowMist_Team for assisting in our investigation, and @samczsun and @tzhen for reaching out to offer help.

— dForce (@dForcenet) February 13, 2023

“Vào ngày 13 tháng 2 năm 2023, số tiền bị hack đã được trả lại đầy đủ cho multi-sig của chúng tôi trên cả Arbitrum và Optimism, một kết thúc hoàn hảo cho tất cả”, dForce cho biết.

#4: Platypus Finance: 9,1 triệu USD

Vào ngày 16 tháng 2, giao thức DeFi Platypus Finance đã phải chịu một cuộc tấn công flash loan dẫn đến thiệt hại 8,5 triệu USD. Theo báo cáo từ Platypus Omniscia, nguyên nhân dẫn đến vụ việc là do code của một order sai trái.

2/ If you deposited Main Pool assets to a yield aggregator before the attack and did not withdraw them before the pool pause, the amount will not appear on our page. We kindly ask for your patience as we wait for the aggregator’s page to be released.

— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) March 3, 2023

Vào ngày 23 tháng 2, nhóm đã thông báo đang tìm cách trả lại khoảng 78% số tiền của pool chính bằng cách hoàn trả các stablecoin bị đóng băng. Đội ngũ cũng xác nhận sự cố thứ hai và thứ ba, dẫn đến 667.000 USD khác bị thất thoát, nâng tổng thiệt hại lên khoảng 9,1 triệu USD.

Cảnh sát Pháp đã bắt giữ hai nghi phạm liên quan đến vụ hack và tịch thu tài sản tiền điện tử trị giá khoảng 222.000 USD vào ngày 25 tháng 2.

#5: Hope Finance: 1,86 triệu USD

Vài ngày sau, người dùng của dự án stablecoin dựa trên thuật toán Arbitrum, Hope Finance, đã trở thành con mồi của một vụ tấn công hợp đồng thông minh vào ngày 20 tháng 2, với khoảng 2 triệu USD bị đánh cắp.

Công ty bảo mật Web3 CertiK đã báo cáo vụ việc vào ngày 21 tháng 2, sau một thông báo về vụ lừa đảo từ tài khoản Twitter của Hope Finance.

#CommunityAlert 🚨@hope_fin have announced the community has been scammed for ~$2m making this the largest #exitscam on Arbitrum in 2023.

$1.86m was transferred to @TornadoCash.

Hope_fin have posted steps for user’s to withdraw their staked LPhttps://t.co/hJbFXiKujt

— CertiK Alert (@CertiKAlert) February 21, 2023

Một thành viên của đội ngũ CertiK chia sẻ rằng kẻ lừa đảo đã thay đổi các chi tiết của hợp đồng thông minh, dẫn đến việc tiền bị rút khỏi giao thức gốc của Hope Finance:

“Có vẻ như kẻ lừa đảo đã thay đổi hợp đồng TradingHelper, điều đó có nghĩa là khi 0x4481 gọi OpenTrade trên GenesisRewardPool, tiền sẽ được chuyển cho kẻ lừa đảo”.

#6: Dexible: 2 triệu USD

Dexible đã bị tấn công bởi kẻ xấu nhắm vào chức năng selfSwap của ứng dụng, với số tiền điện tử trị giá 2 triệu USD bị mất vào ngày 17 tháng 2.

Theo một bài đăng ngày 18 tháng 2 từ sàn giao dịch, “một hacker đã khai thác lỗ hổng trong hợp đồng thông minh mới nhất của chúng tôi. Điều này cho phép hacker đánh cắp tiền từ bất kỳ ví nào có phê duyệt chi tiêu chưa sử dụng trong hợp đồng”.

We are taking this very seriously, and our team immediately paused all Dexible contracts on all chains upon detecting the issue. Our users were affected, but the exploit is over.

2/5

— Dexible (@DexibleApp) February 17, 2023

Sau khi điều tra, Dexible phát hiện kẻ tấn công đã sử dụng chức năng selfSwap của ứng dụng để di chuyển hơn 2 triệu USD tiền điện tử từ những người dùng trước đó đã cho phép ứng dụng chuyển token của họ. Sau khi nhận được token vào hợp đồng thông minh của riêng mình, kẻ tấn công đã rút tiền thông qua Tornado Cash vào ví BNB không xác định.

#7: LaunchZone: 700.000 USD

Giao thức DeFi trên BNB chain LaunchZone đã bị rút hết số tiền trị giá 700.000 USD vào ngày 27 tháng 2. Theo công ty bảo mật blockchain Immunefi, kẻ tấn công đã tận dụng một hợp đồng chưa được xác minh để rút tiền.

“Một sự chấp thuận đã được thực hiện cho hợp đồng chưa được xác minh cách đây 473 ngày bởi nhà triển khai LaunchZone,” Immunefi nói.

Số liệu tháng 2 tăng mạnh so với tháng 1, theo số liệu của DefiLlama. Trình theo dõi chỉ liệt kê 740.000 USD tiền bị hack từ các giao thức DeFi trong tháng qua hai giao thức — Midas Capital và ROE Finance.

Trong Báo cáo tội phạm tiền điện tử năm 2023, công ty dữ liệu blockchain Chainalysis tiết lộ rằng hacker đã đánh cắp 3,1 tỷ USD từ các giao thức DeFi vào năm 2022, chiếm hơn 82% tổng số tiền bị đánh cắp trong năm.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

• Trezor cảnh báo người dùng về cuộc tấn công phishing mới
• Người già độc thân Nhật Bản trở thành mục tiêu của kẻ lừa đảo crypto

Xoài

Theo Cointelegraph