QuickSwap bị hack 220,000 USD, chuẩn bị đóng nền tảng cho vay

Ngày 24/10, QuickSwap, sàn giao dịch phi tập trung trên Polygon, xác nhận bị hacker đánh cắp 220,000 USD.

Hành vi tấn công được thực hiện trên thị trường cho vay Market XYZ. Theo QuickSwap, đây là nền tảng duy nhất bị xâm nhập. 

Ban đầu, công ty bảo mật blockchain PeckShield nhận định cuộc tấn công có liên quan đến Qi DAO công ty phát hành stablecoin MIMATIC (MAI). Tuy nhiên, PeckShield sau đó cho rằng cuộc tấn công diễn ra trên QuickSwap.

Phía QuickSwap thông báo 220,000 USD đã bị bòn rút thông qua hình thức tấn công flash loan. QuickSwap cũng đang có kế hoạch đóng cửa nền tảng cho vay. Công ty lẽ ra cung cấp bản cập nhật cho người dùng vào sáng ngày 24/10 (giờ địa phương). Trên thực tế, người dùng phải chờ đợi suốt 12h mới nhận được thông tin chính thức từ nền tảng. 

“Chúng tôi khuyến nghị người dùng có tiền gửi vào các thị trường mở trên Market ZYZ thuộc QuickSwap rút tiền ngay lập tức. Chúng tôi đang trong quá trình đóng các thị trường này", QuickSwap viết trên Twitter.

Theo PeckShield, kẻ tấn công đang cố thao túng giá trên nền tảng. "Thị trường MIMATIC sử dụng nguồn cấp dữ liệu giá CurvePoolOracle. Tuy nhiên, hệ thống này đã bị thao túng để trục lợi", PeckShield viết trên Twitter.

Dựa trên phân tích của PeckShield, kẻ tấn công đã thao túng giá để vay tiền với giá cao. Sau đó, người này dùng cầu nối xuyên chuỗi (cross-chain) chuyển tiền từ Polygon đến Ethereum. Cuối cùng, tiền được chuyển vào "máy trộn" Tornado Cash. 

Tornado Cash là giao thức trộn tiền gửi của người dùng để xóa sạch dấu vết giao dịch. Mục đích của Tornado Cash là bảo vệ quyền riêng tư cho người dùng song nhiều tôi phạm mạng đã lợi dụng nền tảng này làm công cụ tội phạm.

Hiện QuickSwap chưa tiết lộ thêm thông tin chi tiết về vụ việc. Tuy nhiên, nền tảng khẳng định tiền của người dùng không bị tổn thất.

Đọc thêm: Hacker Transit Swap được thưởng gần 700,000 USD khi chấp nhận trả lại tiền