Bốn dự án DeFi bị tấn công chỉ trong một ngày

Chỉ trong 24 giờ, bốn dự án tài chính phi tập trung đã bị tấn công. Tổng thiệt hại ước tính hơn 115 triệu USD.

immihu.web3

Published Oct 12 2022

Updated Oct 12 2022

3 min read

Chỉ trong 24 giờ, bốn dự án tài chính phi tập trung đã bị tấn công. Tổng thiệt hại ước tính hơn 115 triệu USD.

Các dự án bị tấn công bao gồm: Rabby Wallet, ParaSwap, Temple DAO và Mango Markets.

Rabby Wallet

Ngày 11/10, Rabbit Wallet, dự án phát triển ví tiền mã hóa, đã cảnh báo người dùng về một lỗ hổng trên hợp động thông minh của Rabby Swap.

There is an exploit on Rabby Swap smart contract.

If you have used it, please revoke all existing approvals on all chains for Rabby Swap.
For those who haven't used Swap, your wallet is safe and unaffected.

We are actively working to solve it and we will keep you updated.
— Rabby Wallet (@Rabby_io) October 11, 2022

“Nếu người dùng sử dụng tính năng giao dịch (swap), xin hãy revoke tất cả phê duyệt trên tất cả các chuỗi trên Rabby Swap”, theo thông báo từ Rabby Wallet.

Theo @web3isgreat, kẻ tấn công đã phát hiện lỗ hổng trong hợp đồng thông minh của Rabby Swap, cho phép anh ta tự ý chuyển tiền của người dùng. Kẻ tấn công đã chuyển 114 ETH (khoảng 146,000 USD) và 179 BNB (khoảng 48,500 USD). Thiệt hại cụ thể vẫn đang được tính toán.

Hợp đồng trên đã được giám định bởi công ty PeckShield nhưng lỗ hổng trên đã không được phát hiện.

Paraswap

Như MarginATM đã đưa tin (tại đây), ngày 11/10, công ty bảo mật Supremacy Inc cho biết private key (khóa cá nhân) của người triển khai ParaSwap đã bị xâm phạm. Lỗi này có thể do lỗ hổng từ ví mà Profanity cung cấp, khiến tài sản bị đánh cắp trên nhiều chuỗi.

Tuy nhiên, phía ParaSwap đã phủ nhận cáo buộc trên và cho biết địa chỉ trên đã hết hạn và không có bất kỳ quyền lực nào.

Dear community. This is just a deployer address that was retired and has no power at all https://t.co/uQKVncMZof
— ParaSwap (@paraswap) October 11, 2022

Temple DAO

Temple DAO, dự án tài chính phi tập trung, đã bị tấn công, thiệt hại 2.3 triệu USD.

BlockSec, công ty bảo mật, đã xác định nguyên nhân của vụ hack là lỗ hổng cho phép truy cập vào migrateStake, một tính năng của hợp đồng thông minh của giao thức.

TempleDao @templedao has been attacked. The root cause is the insufficient access control to the migrateStake function.https://t.co/eUwSMkZrEt pic.twitter.com/zXBUwzQ2Oy
— BlockSec (@BlockSecTeam) October 11, 2022

Ngay sau đó, kẻ tấn công đã chuyển 1,831 ETH (khoảng 2.34 triệu USD) vào một địa chỉ mới. Điều đáng nói là lỗ hổng đã tồn tại hơn 100 ngày tuy nhiên đến thời điểm hiện tại mới bị khai thác.

Temple DAO là một giao thức tài chính phi tập trung với mục đích bảo vệ tài sản người dùng và thu lại lợi nhuận (phần thưởng) từ các tính năng trong giao thức.

Mango Markets

Như MarginATM đã đưa tin (tại đây), sáng hôm nay (12/10), nền tảng cho vay Mango Markets đã bị tấn công thông qua hoạt động thao túng giá MNGO token. Thiệt hại ước tính hơn 100 triệu USD.

Tất cả các dự án trên đều thuộc mảng tài chính phi tập trung. Trong nửa đầu năm 2022, hơn 3 tỷ USD đã bị đánh cắp. Trong đó, vụ lớn nhất liên quan đến game Axie Inifinity. Hacker khai thác lỗ hổng của cầu nối Ronin và lấy đi hơn 600 triệu USD. Các vụ hack liên tiếp càng làm mất niềm tin của nhà đầu tư với mảng công nghệ mới này.