Crema Finance đóng giao thức thanh khoản trên Solana vì bị tấn công
Ngày 3/7, Crema Finance - giao thức thanh khoản tập trung trên blockchain Solana đã thông báo về việc tạm ngừng dịch vụ của mình do việc hacker khai thác thành công, rút hết lượng tiền đáng kể từ giao dịch.
Ngay sau khi nhận ra vụ hack, Crema Finance đã đình chỉ các dịch vụ thanh khoản để ngăn chặn hacker rút hết dự trữ thanh khoản. Trong đó, bao gồm tiền của nhà cung cấp dịch vụ và nhà đầu tư.
🚨🚨Attention! Our protocol seems to have just experienced a hacking. We temporarily suspended the program and are investigating it. Updates will be shared here ASAP.
— CremaFinance (@Crema_Finance) July 3, 2022
Vài giờ sau vụ hack, Crema đã tweet rằng họ đang làm việc với công ty kiểm toán blockchain OtterSec và các tổ chức có kinh nghiệm khác về cuộc điều tra.
Trong cùng chủ đề, OtterSec nói rằng Crema “gần đây đã bị tấn công thiệt hại hơn 6 triệu USD. Không giống các cuộc tấn công trước đây, hacker này đã sử dụng flashloans của Solend để rút cạn pool của dự án”.
We’re working with @osec_io and several experienced organizations to sort things out at the moment. Updates will be synced here continually. https://t.co/rMstppU6eF
— CremaFinance (@Crema_Finance) July 3, 2022
Sau đó, Crema đã tweet rằng manh mối về số tiền hacker lấy được đang ngày càng rõ ràng hơn khi hắn “di chuyển" số tiền. Crema đang kết nối với tất cả các tổ chức có liên quan để có thêm manh mối. Theo đó, Crema đã retweet bài đăng từ SolanaFM tính toán rằng vụ hack có thể lên tới khoảng 8.8 triệu USD.
The hacker’s fund movements are getting clearer. We’re connecting with all relevant organizations at the moment to get more clues. A more comprehensive summary will be given. We’ll keep you all updated. 🙏 https://t.co/GT1reDIK4a
— CremaFinance (@Crema_Finance) July 3, 2022
Xác nhận với truyền thông, Henry Du - đồng sáng lập của Crema Finance đã xác nhận sự việc bắt đầu được điều tra.
“Chúng tôi đang làm việc với một số công ty bảo mật và nhận được sự hỗ trợ từ Solana, Solscan và Etherscan,... Chúng tôi sẽ tiếp tục đăng bản cập nhật về vụ hack thông qua tài khoản Twitter chính thức.”
Trong khi đó, cộng đồng crypto trên Twitter đã tự mình truy tìm ví tiền của kẻ tấn công và hiểu rõ hơn về tình hình.
Dựa trên cuộc điều tra cá nhân, tài khoản Twitter cá nhân có tên là Harvey Mackintosh cho biết đã phát hiện ra địa chỉ ví của kẻ tấn công. Địa chỉ được đề cập chứa 69,422 SOL, tương đương hơn 2.3 triệu USD. Số SOL này được mua thông qua hàng loạt giao dịch trong vài giờ.
Bên cạnh đó, các thành viên khác của cộng đồng crypto nghi ngờ tin tặc đã lấy đi 90% thanh khoản từ một số pool của Crema Finance. Henry Du cũng xác nhận rằng tất cả các chức năng của giao thức đã bị đình chỉ vô thời hạn và yêu cầu các nhà đầu tư theo dõi cập nhật từ dự án để biết thêm thông tin.
Suspended all functions already
— Henry | Crema Finance (@HenryCanFly) July 3, 2022
Về cách thức hacker tấn công, tài khoản Twitter cá nhân có tên là xNFT Pierre Arowana đã có một số chia sẻ về sự việc này.
Theo đó, hacker được cho là đã sử dụng công cụ flash loan trên Solend để vay một lượng tiền và deposit vào pool. Sau đó, hacker đã lợi dụng các lệnh deposit, claim và withdrawal để rút tiền.
Mấu chốt của việc này là hacker có thể yêu cầu claim fee từ pool một cách thoải mái. Vì thông thường, chỉ những người cung cấp thanh khoản mới claim được. Và phí claim sẽ được chia theo tỷ lệ cung cấp thanh khoản.
xNFT Pierre Arowana nhận định đây là một lỗi cơ bản trên Solana, khi tài khoản không được xác thực đầy đủ, dẫn đến hacker có thể tạo ra dữ liệu giả để thao túng dự án.
1/ What happened to @Crema_Finance ?⁰ The hacker seems to have made > $6m by simply chaining deposit => claim => withdraw into the Crema AMM.⁰
— xNFT Pierre Arowana (@PierreArowana) July 3, 2022
Leveraging Solend flash loans to get started with a large amount of tokens⁰⁰
One of the transactions:https://t.co/33TMAuUfRR
Crema Finance là một nền tảng riêng biệt có tên gần giống với Cream Finance - giao thức cho vay DeFi tài chính phi tập trung. Vào năm 2021, Cream Finance đã mất 19 triệu USD trong vụ hack.
Gần đây, vào ngày 23/6, cầu nối Horizon của Harmony bị hack, thiệt hại hơn 100 triệu USD. Về danh tính kẻ tấn công, Lazarus Group - tổ chức hack của Triều Tiên đã trở thành nghi phạm chính.
Các cuộc điều tra từ công ty phân tích blockchain Elliptic đã tuyên bố sự tham gia của Triều Tiên dựa trên các phương pháp rửa tiền bị đánh cắp:
“Có những dấu hiệu rõ ràng cho thấy tổ chức Lazarus của Triều Tiên có thể phải chịu trách nhiệm cho vụ trộm này, dựa trên bản chất của vụ hack và cách thức rửa số tiền bị đánh cắp”.