QuickSwap bị hack 220,000 USD, chuẩn bị đóng nền tảng cho vay
Ngày 24/10, QuickSwap, sàn giao dịch phi tập trung trên Polygon, xác nhận bị hacker đánh cắp 220,000 USD.
Hành vi tấn công được thực hiện trên thị trường cho vay Market XYZ. Theo QuickSwap, đây là nền tảng duy nhất bị xâm nhập.
Ban đầu, công ty bảo mật blockchain PeckShield nhận định cuộc tấn công có liên quan đến Qi DAO công ty phát hành stablecoin MIMATIC (MAI). Tuy nhiên, PeckShield sau đó cho rằng cuộc tấn công diễn ra trên QuickSwap.
⚠️QuickSwap Lend is closing⚠️
— QuickSwap (@QuickswapDEX) October 24, 2022
🔗$220k was exploited in a flash loans attack due to a vulnerability with the Curve Oracle, which @marketxyz was using
☣ Only the Market XYZ lending market was compromised. QuickSwap's contracts are unaffected
🪡🧵👇1/3 pic.twitter.com/oWNz7BAujT
Phía QuickSwap thông báo 220,000 USD đã bị bòn rút thông qua hình thức tấn công flash loan. QuickSwap cũng đang có kế hoạch đóng cửa nền tảng cho vay. Công ty lẽ ra cung cấp bản cập nhật cho người dùng vào sáng ngày 24/10 (giờ địa phương). Trên thực tế, người dùng phải chờ đợi suốt 12h mới nhận được thông tin chính thức từ nền tảng.
“Chúng tôi khuyến nghị người dùng có tiền gửi vào các thị trường mở trên Market ZYZ thuộc QuickSwap rút tiền ngay lập tức. Chúng tôi đang trong quá trình đóng các thị trường này", QuickSwap viết trên Twitter.
Theo PeckShield, kẻ tấn công đang cố thao túng giá trên nền tảng. "Thị trường MIMATIC sử dụng nguồn cấp dữ liệu giá CurvePoolOracle. Tuy nhiên, hệ thống này đã bị thao túng để trục lợi", PeckShield viết trên Twitter.
It is a price manipulation issue. The miMATIC market
— PeckShield Inc. (@peckshield) October 24, 2022
uses CurvePoolOracle for price feed, which is manipulated to borrow funds from the market https://t.co/kDv10Zp2nz @market_xyz @QuickswapDEX @QiDaoProtocol https://t.co/muXdhubeJD pic.twitter.com/l5uWb5ynQQ
Dựa trên phân tích của PeckShield, kẻ tấn công đã thao túng giá để vay tiền với giá cao. Sau đó, người này dùng cầu nối xuyên chuỗi (cross-chain) chuyển tiền từ Polygon đến Ethereum. Cuối cùng, tiền được chuyển vào "máy trộn" Tornado Cash.
Tornado Cash là giao thức trộn tiền gửi của người dùng để xóa sạch dấu vết giao dịch. Mục đích của Tornado Cash là bảo vệ quyền riêng tư cho người dùng song nhiều tôi phạm mạng đã lợi dụng nền tảng này làm công cụ tội phạm.
Hiện QuickSwap chưa tiết lộ thêm thông tin chi tiết về vụ việc. Tuy nhiên, nền tảng khẳng định tiền của người dùng không bị tổn thất.
Đọc thêm: Hacker Transit Swap được thưởng gần 700,000 USD khi chấp nhận trả lại tiền