06/03/2023 13:30 read

147

7 vụ hack giao thức DeFi vào tháng 2 cho thấy 21 triệu đô la tiền bị đánh cắp: DefiLlama

Các nền tảng DeFi đã mất hơn 21 triệu đô la vào tay tin tặc trong suốt tháng 2, theo dữ liệu do công ty tổng hợp dự án DeFi DefiLlama công bố.

Reentrancy, tấn công tiên tri giá và khai thác trên bảy giao thức đã khiến không gian tài chính phi tập trung (DeFi) tiêu tốn ít nhất 21 triệu đô la tiền điện tử vào tháng Hai.

Theo nền tảng phân tích dữ liệu lấy DeFi làm trung tâm DefiLlama, một trong những vụ lớn nhất trong tháng là cuộc tấn công tái đăng ký khoản vay nhanh nhằm vào Platypus Finance, dẫn đến mất 8,5 triệu đô la tiền.

DefiLlama nêu bật sáu vụ hack đáng chú ý khác trong tháng, vụ đầu tiên là cuộc tấn công tiên tri về giá vào BonqDAO vào ngày 1 tháng 2.

Các nền tảng DeFi đã hứng chịu bảy cuộc tấn công trong suốt tháng Hai. Nguồn: DefiLlama

BonqDAO: 1,7 triệu USD

BonqDAO đã tiết lộ với những người theo dõi mình trong một bài đăng vào ngày 1 tháng 2 rằng giao thức Bonq của họ đã bị lộ trước một cuộc tấn công tiên tri cho phép kẻ khai thác thao túng giá của Token AllianceBlock (ALBT).

Người khai thác đã tăng giá ALBT và đúc một lượng lớn BEUR. BEUR sau đó đã được hoán đổi cho các Token khác trên Uniswap. Sau đó, giá đã giảm xuống gần như bằng không, điều này đã kích hoạt việc bán tháo các kho ALBT.

Công ty bảo mật blockchain PeckShield ước tính thiệt hại vào khoảng 1,20 triệu đô la Mỹ, tuy nhiên, sau đó được tiết lộ rằng tin tặc chỉ rút được khoảng 1 triệu đô la Mỹ do thiếu thanh khoản trên BonqDAO.

Giao thức Orion: 3 triệu USD

Chỉ một ngày sau, nền tảng giao dịch phi tập trung Giao thức Orion đã bị lỗ khoảng 3 triệu USD vào ngày 2 tháng 2 do một cuộc tấn công vào lại, nơi những kẻ tấn công sử dụng hợp đồng thông minh độc hại để rút tiền từ mục tiêu bằng các lệnh rút tiền lặp đi lặp lại.

We have been investigating this very sophisticated attack from the minutes it occurred. We will not reopen the Deposit function until we feel confident that the bug has been fixed which will only be after successfully passing new audits from leading audit firms.
— Alexey Koloskov (@alexeykoloskov) February 2, 2023

Giám đốc điều hành của Orion Protocol, Alexey Koloskov, đã xác nhận vụ tấn công vào thời điểm đó, đồng thời đảm bảo với mọi người rằng "Tất cả tiền của người dùng đều an toàn và bảo mật."

"Chúng tôi có lý do để tin rằng sự cố không phải do bất kỳ thiếu sót nào trong mã giao thức cốt lõi của chúng tôi, mà có thể là do lỗ hổng trong việc trộn các thư viện của bên thứ ba vào một trong các hợp đồng thông minh được sử dụng bởi nhóm thử nghiệm và riêng tư của chúng tôi. môi giới," ông nói.

Mạng dForce: 3,65 triệu USD

Mạng dForce của giao thức DeFi là một nạn nhân khác trong tháng 2 của một cuộc tấn công vào lại, dẫn đến thiệt hại khoảng 3,65 triệu đô la.

Trong một bài đăng ngày 10 tháng 2, dForce đã xác nhận việc khai thác; tuy nhiên, trong một bước ngoặt, tất cả số tiền đã được trả lại khi tin tặc xuất hiện với tư cách là một tin tặc mũ trắng.

2/5 Shortly after the incident, we entered into conversations with the exploiter, who came forward as a whitehat. We have agreed to offer a bounty and will drop all on-going investigation and law enforcement actions.
— dForce (@dForcenet) February 13, 2023

Vào ngày 13 tháng 2 năm 2023, số tiền khai thác đã được trả lại đầy đủ cho đa chữ ký của chúng tôi trên cả Arbitrum và Optimism, một kết thúc hoàn hảo cho tất cả, dForce cho biết.

Platypus Finance: 9,1 triệu USD

Vào ngày 16 tháng 2, giao thức DeFi Platypus Finance đã bị một cuộc tấn công cho vay nhanh dẫn đến 8,5 triệu đô la bị rút khỏi giao thức.

Một báo cáo khám nghiệm tử thi từ kiểm toán viên Platypus Omniscia lưu ý rằng cuộc tấn công có thể xảy ra do mã sai thứ tự.

Vào ngày 23 tháng 2, nhóm đã thông báo rằng họ đang tìm cách trả lại khoảng 78% số tiền chính của Pool bằng cách nhắc lại các stablecoin bị đóng băng.

Updated compensation page

We have updated our compensation page today! If you have deposited or withdrawn LP tokens from our yield aggregators before the pool pause, your compensation amount will be updated accordingly.
More https://t.co/GfLIn5jmtF
— Platypus (++) (@Platypusdefi) March 3, 2023

Nhóm cũng xác nhận sự cố thứ hai và thứ ba, dẫn đến 667.000 đô la khác bị lợi dụng, tổng thiệt hại khoảng 9,1 triệu đô la.

Cảnh sát Pháp đã bắt giữ hai nghi phạm liên quan đến vụ hack và thu giữ tài sản tiền điện tử trị giá khoảng 222.000 đô la vào ngày 25 tháng 2.

Hope Finance: 1,86 triệu USD

Vài ngày sau, người dùng của dự án stablecoin dựa trên thuật toán dựa trên arbitrum, Hope Finance, đã trở thành nạn nhân của một vụ khai thác hợp đồng thông minh vào ngày 2 tháng 20 USD0, khiến khoảng 2 triệu USD bị đánh cắp từ người dùng.

#CommunityAlert @hope_fin have announced the community has been scammed for ~$2m making this the largest #exitscam on Arbitrum in 2023.

$1.86m was transferred to @TornadoCash.

Hope_fin have posted steps for user's to withdraw their staked LPhttps://t.co/hJbFXiKujt
— CertiK Alert (@CertiKAlert) February 21, 2023

Công ty bảo mật Web3 CertiK đã báo cáo vụ việc vào ngày 21 tháng 2, sau một thông báo từ tài khoản Twitter của Hope Finance thông báo cho người dùng về vụ lừa đảo.

Một thành viên của nhóm CertiK đã nói với Cointelegraph vào thời điểm đó rằng kẻ lừa đảo đã thay đổi các chi tiết của hợp đồng thông minh, dẫn đến việc tiền bị rút khỏi giao thức gốc của Hope Finance:

Có vẻ như kẻ lừa đảo đã thay đổi hợp đồng TradingHelper, điều đó có nghĩa là khi 0x4481 gọi OpenTrade trên GenesisRewardPool, tiền sẽ được chuyển cho kẻ lừa đảo.

Dexible: 2 triệu USD

Công cụ tổng hợp nền tảng giao dịch đa chuỗi Dexible đã bị tấn công bởi một lỗ hổng nhắm vào chức năng selfSwap của ứng dụng, với số tiền điện tử trị giá 2 triệu USD đã bị mất do cuộc tấn công ngày 17 tháng 2.

Theo một bài đăng ngày 18 tháng 2 từ nền tảng giao dịch, một hacker đã khai thác lỗ hổng trong hợp đồng thông minh mới nhất của chúng tôi. Điều này cho phép tin tặc đánh cắp tiền từ bất kỳ ví nào có phê duyệt chi tiêu chưa sử dụng trong hợp đồng.

Dear Dexible community, we regret to inform you that in the early hours of February 17th, a hacker exploited a vulnerability in our newest smart contract. This allowed the hacker to steal funds from any wallet that had an unspent spend approval on the contract.

1/5
— Dexible (@DexibleApp) February 17, 2023

Sau khi điều tra, nhóm Dexible phát hiện ra rằng kẻ tấn công đã sử dụng chức năng selfSwap của ứng dụng để di chuyển hơn 2 triệu đô la Mỹ tiền điện tử từ những người dùng trước đây đã cho phép ứng dụng di chuyển Token của họ.

Sau khi nhận được Token vào hợp đồng thông minh của riêng mình, kẻ tấn công đã rút tiền thông qua Tornado Cash vào ví BNB không xác định.

LaunchZone: $700,000

Giao thức tài chính phi tập trung (DeFi) dựa trên chuỗi BNB LaunchZone đã rút hết số tiền trị giá 700.000 đô la vào ngày 27 tháng 2.

Theo công ty bảo mật blockchain Immunefi, kẻ tấn công đã tận dụng một hợp đồng chưa được xác minh để rút tiền.

"Người triển khai LaunchZone đã phê duyệt hợp đồng chưa được xác minh cách đây 473 ngày," Immunefi nói.

Số liệu tháng Hai tăng mạnh so với tháng Giêng, theo số liệu của DefiLlama.

Trình theo dõi chỉ liệt kê 740.000 đô la tiền hack vào nền tảng DeFi trong tháng trên hai giao thức — Midas Capital và ROE Finance.

Trong Báo cáo tội phạm tiền điện tử năm 2023, công ty dữ liệu blockchain Chainalysis tiết lộ rằng tin tặc đã đánh cắp 3,1 tỷ đô la từ các giao thức DeFi vào năm 2022, chiếm hơn 82% tổng số tiền bị đánh cắp trong năm.

Theo CoinTelegraph

Tuyên bố miễn trừ trách nhiệm: Bài viết này chỉ được viết cho mục đích thông tin. Bài viết không nhằm mục đích khuyến khích mua tài sản theo bất kỳ cách nào, cũng không cấu thành lời chào mời, đề nghị, khuyến nghị hoặc gợi ý đầu tư. Tôi muốn nhắc nhở bạn rằng tất cả các tài sản đều được đánh giá từ nhiều góc độ và có rủi ro cao, do đó, bất kỳ quyết định đầu tư nào và rủi ro liên quan đều do nhà đầu tư tự chịu rủi ro.

Chia sẻ bài viết này với bạn bè qua Facebook / Zalo / Telegram: