Channel logo
MarginATM
Save
Copy link

MISO của SushiSwap bị tấn công với hơn 3 triệu USD thất thoát

Sản phẩm Launchpad MISO của nền tảng SushiSwap bị tấn công với thiệt hại dự kiến lên tới 864.8 ETH. Danh tính của hacker đã được công bố trên, đó là ai?
Avatar
Khải Hoàn
Published Sep 16 2021
Updated Oct 24 2022
5 min read
thumbnail

Launchpad MISO trở thành nạn nhân của vụ tấn công

Theo Giám đốc Công nghệ (CTO) tại SushiSwap, Joseph Delong cho biết, MISO, một sản phẩm Launchpad của Sushi vừa trở thành nạn nhân của một vụ tấn công thiệt hại dự kiến lên tới 864.8 ETH tương đương 3,078,688 USD.

SushiSwap là một trong những sàn giao dịch phi tập trung (DEX) lớn nhất trên thế giới và là đối thủ của Uniswap, với khối lượng giao dịch hơn 495 triệu USD trong 24 giờ qua. Như được mô tả trên trang web của dự án, MISO là một bộ hợp đồng thông minh mã nguồn mở được tạo ra để dễ dàng trong quá trình khởi chạy một dự án mới trên sàn giao dịch SushiSwap.

MISO của SushiSwap bị tấn công thiệt hại hơn 3 triệu USD

MISO đã trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng. Cụ thể là vào sáng ngày thứ Năm 17 tháng 9, một kẻ ẩn danh đã đưa mã độc vào giao diện front-end của nền tảng. Đồng thời thay thế địa chỉ ví của dự án Jay Pegs Auto Mart, dự án duy nhất bị ảnh hưởng trong đợt tấn công này, bằng địa chỉ của chính mình, từ đó đánh cắp ETH thành công. Tuy nhiên, Delong khẳng định đã khắc phục thành công những lỗ hổng liên quan. 

Đây không phải là lần đầu tiên MISO gặp sự cố như vậy. Tháng trước, Samczsun, một nhà nghiên cứu bảo mật của công ty đầu tư mạo hiểm Paradigm, đã phát hiện ra lỗ hổng trong khi kiểm tra mã hợp đồng thông minh của việc bán token BitDAO trên nền tảng MISO. Nhà nghiên cứu này nói rằng lỗ hổng bảo mật có thể dẫn đến thiệt hại khoảng 350 triệu USD. 

Đã biết danh tính của hacker?

Danh tính của hacker đã được Joseph Delong công bố trên Twitter. Ông cho rằng kẻ tấn công là một lập trình viên blockchain đã từng làm việc cho Yearn Finance và nhiều dự án khác. SushiSwap thậm chí còn yêu cầu các sàn giao dịch tiền điện tử FTXBinance cung cấp thông tin KYC của kẻ tấn công. Tuy nhiên hai sàn giao dịch này đã từ chối vì đây là vấn đề nhạy cảm. 

Delong cũng cảnh báo các dự nên rà soát lại giao diện người dùng để phòng tránh bị xâm nhập. Ông cũng nói rằng SushiSwap đã yêu cầu luật sư Stephen Palley của công ty nộp đơn khiếu nại lên FBI nếu số tiền bị đánh cắp không được trả lại trước 19 giờ ngày thứ Sáu 17 tháng 9 (theo giờ Việt Nam). 

Số tiền bị đánh cắp đã được hoàn trả

Vào chiều cùng ngày, một tài khoản có tên Erastos1122, người bị cáo buộc tấn công MISO đã phủ nhận trên Twitter đồng thời đưa ra lời đe dọa sẽ tiết lộ những thông tin mật mình có được của dự án nếu Delong không rút lại lời cáo buộc. Cụ thể, người này đã đăng tweet:

“Này Delong, điều này thật điên rồ. Hãy rút lại lời cáo buộc và đưa ra lời xin lỗi tới mọi người. Nếu không, tôi sẽ tung ra tất cả thông tin mật của dự án MISO mà tôi biết. Ông biết rõ là tôi đã từng làm việc rất tích cực cho dự án MISO mà."

Tuy nhiên, đến đúng thời hạn 19 giờ ngày 17 tháng 9 theo giờ Việt Nam mà Delong đã đưa ra, tin tặc đã trả lại 100 ETH, sau đó trả tiếp 700 ETH nữa. Cuối cùng, đến 20 giờ 45 phút cùng ngày, toàn bộ 864.8 ETH bị hack đã được hoàn trả. 

Tổng kết

Gần đây, thị trường tiền điện tử dường như đang phải chứng kiến sự gia tăng của các vụ xâm nhập từ hacker. Chỉ tính từ tháng 8 đến nay đã có nhiều vụ tấn công xảy ra, hai vụ hack lớn là Zabu Finance trên Avalanche và hack Poly Network. Trong đó, vụ hack Poly Network có thể coi là lớn nhất trong lịch sử với 600 triệu USD bị thổi bay. 

Vấn đề bảo mật có lẽ hiện vẫn là một trong các hạn chế lớn nhất của ngành công nghiệp tiền điện tử khi cứ thỉnh thoảng lại thấy về các vụ hack DeFi triệu đô. Người dùng có lẽ sẽ an tâm hơn khi các nhà phát triển của các nền tảng chú ý nâng cấp cũng như cải thiện độ bảo mật cho các sản phẩm của mình.  

Đọc thêm: Binance sẽ từ bỏ hình thức làm việc phi tập trung?

RELEVANT SERIES