Hacker vụ Ankr bỏ túi 20 triệu USD đơn giản như thế nào?
Công ty bảo mật BlockSec ước tính giao thức Ankr và Helio Protocol thiệt hại tổng cộng 20 triệu USD, theo Coindesk.
Như MarginATM đưa tin (tại đây), cuộc tấn công đầu tiên nhắm vào Ankr Reward Bearing Staked BNB (aBNBc), token có liên kết với giá của BNB. Kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng thông minh và mint khoảng 20 nghìn tỷ aBNBc, khiến nền tảng thiệt hại 5 triệu USD.
Thủ phạm đã bán và rút hết thanh khoản của token trên nhiều sàn giao dịch phi tập trung trên BNB Chain. Ngay trong sáng ngày 2/12, Ankr xác nhận vụ việc, đồng thời cho biết họ đang phối hợp với các sàn giao dịch để ngăn chặn tiền gửi từ địa chỉ của kẻ tấn công.
The team at Ankr has assessed the damage and it is max 5M USD worth of BNB from the liquidity pools.
— Ankr (@ankr) December 2, 2022
We are currently working hard to resolve this issue efficiently and we would like to propose the following to address the current situation:
Khi hacker bán số lượng lớn aBNBc trên các sàn giao dịch phi tập trung, giá của token giảm hơn 99%. Việc này đã tạo cho hacker có cơ hội khai thác lần thứ hai.
Theo BlockSec, một người nào đó đã nhận được khoảng 183,000 token aBNBc cùng 10 BNB (2,900 USD). Sau đó, kẻ tấn công gửi token vào Helio Protocol để rút tiền.
Kẻ tấn công đã thành công vay số stablecoin HAY trị giá 16 triệu USD dù chỉ tiêu tốn một lượng rất nhỏ tài sản thế chấp aBNBc. Nguyên nhân là hệ thống oracle của Helio Money chưa kịp cập nhật giá aBNBc sau sự cố. Thủ phạm đã hoán đổi (swap) stablecoin HAY lấy 15 triệu BUSD.
Oracle là dịch vụ của bên thứ 3 chuyển dữ liệu bên ngoài vào trong blockchain. Oracle được sử dụng rộng rãi bởi các giao thức tài chính phi tập trung (DeFi) để đảm bảo dữ liệu cho vay, đi vay và các dịch vụ khác chính xác. Tuy nhiên, việc oracle của Helio cập nhật dữ liệu chậm đã khiến nền tảng trở thành món mồi béo bở cho kẻ xấu.
Mặt khác, BlockSec lưu ý một phần trong 15 triệu USD trên đã được kẻ tấn công chuyển lên sàn Binance. Binance ngay sau đó đã dừng tính năng rút tiền và đóng băng tài khoản thủ phạm. Changpeng Zhao (CZ), nhà sáng lập Binance thông báo sàn đã thu hồi được khoảng 3 triệu USD.
Staking pool của HAY hiện đang nắm giữ khoảng 19 triệu USD bị khóa. Các nhà phát triển tuyên bố số tiền staking vẫn an toàn. Helio cho biết trên Twitter họ đang nỗ lực giải quyết tình hình và kêu gọi người dùng tránh giao dịch HAY để hạn chế rủi ro.