Giao thức trên Avalanche mất 370,000 USD trong vụ tấn công flash loan

Ngày 6/9, Nereus Finance, nền tảng DeFi staking trên Avalanche đã bị ảnh hưởng trong một cuộc tấn công flash loan. Đáng chú ý, hacker đã lấy cắp 370,000 USD dưới dạng stablecoin USDC.

Dữ liệu on-chain từ Snowtrace cho thấy kẻ tấn công đã thực hiện cuộc khai thác dưới hình thức flash loan với số tiền trị giá 51 triệu USD. Theo nguồn tin từ CertiK, hacker đã sử dụng khoản tiền này nhằm thao túng giá token trên Nereus. Tuy sau đó hắn ta đã trả lại 51 triệu USD, nhưng có khoảng 370,000 USD stablecoin USDC bị đánh cắp do sự chênh lệch giá trong giao dịch.

Để luân chuyển số tiền này, hacker đã sử dụng cầu (bridge) từ blockchain Avalanche sang mạng Ethereum. Sau đó, hắn ta nhanh chóng swap USDC thành 194 ETH (tương ứng 310,000 USD) và 15,800 DAI (tương ứng 15,800 USD) và gửi về địa chỉ ví cũ. Đáng chú ý, ví nhận số token được swap trên cũng chính là địa chỉ ví được phát hiện trên mạng Avalanche. 

Hiện chỉ còn khoảng 14 ETH và 15,800 DAI trong địa chỉ ví của kẻ tấn công. Đặc biệt, hắn đã chuyển 180 ETH đến bốn địa chỉ ví khác nhau (45 ETH cho mỗi địa chỉ). Tất cả các khoản tiền này đã được gửi đến Free Float, một sàn giao dịch tiền điện tử trên Lightning Network. Đây cũng là nền tảng mà các nhà đầu tư thường sử dụng để kiếm lợi nhuận từ việc giao dịch chênh lệch giá.  

Flash Loans là hình thức vay không cần tài sản thế chấp (uncollateralized) với điều kiện số tiền vay phải được trả lại cho nền tảng cho vay trong cùng một giao dịch. Mặc dù Flash Loans có những ứng dụng tốt nhưng điều khiến Flash Loans trở nên quyền lực hơn đó chính là khả năng tấn công, hack các ứng dụng DeFi với số tiền thiệt hại lên đến hàng triệu USD mỗi lần. 

Trên thực tế, có không ít vụ hack nghiêm trọng của các nền tảng DeFi liên quan đến flash loan. Điều này cũng được Cục Điều tra Liên bang Mỹ nhấn mạnh trong một tuyên bố hồi tháng 8. Cơ quan này cho rằng flash lian và các vụ exploit là một trong những yếu tố rủi ro đối với người dùng DeFi.