Channel logo
MarginATM
Save
Copy link

Rugpull 31 triệu đô và hứa trả lại cho người dùng

Vào ngày 4/3, Meerkat Finance - một giao thức tài chính phi tập trung (DeFi) trên nền tảng Binance Smart Chain đã bị đánh cắp 73,000 BNB và 14 triệu USD stablecoin BUSD trị giá 31 triệu đô la.
Sammie
Published Mar 05 2021
Updated Jul 21 2022
4 min read
thumbnail

Quá trình tự biên - tự diễn của Meerkat Finance

Vào ngày 4/3, Meerkat Finance - một giao thức tài chính phi tập trung (DeFi) trên nền tảng Binance Smart Chain đã bị đánh cắp 73,000 BNB và 14 triệu USD stablecoin BUSD trị giá 31 triệu đô la. Mặc dù ban đầu nhóm tuyên bố rằng họ là nạn nhân của một vụ lợi dụng, nhưng sau đó họ đã xóa tất cả các kênh xã hội và do bản chất của việc khai thác, một số người tin rằng nhóm đã thanh lý và ăn cắp tiền của người dùng - một kiểu lừa đảo thường được gọi là "Rugpull".

Là bản fork của Yearn Finance, Meerkat chỉ mới ra đời được vài giờ khi cuộc tấn công rút cạn yield vault diễn ra. Các giao dịch on chain cho thấy một địa chỉ đã nâng cấp hợp đồng người triển khai Meerkat, cấp quyền cho địa chỉ đó để thanh lý các khoản yield vault. Người dùng sau đó đã chuyển đến các kênh cộng đồng Binance để báo cáo tổn thất của họ.

Kể từ khi công bố, Binance đã không đưa ra tuyên bố chính thức về khoản lỗ.

Với bản chất tập trung của BSC và việc thiếu một công cụ “mixer” bảo vệ quyền riêng tư như Tornado Cash dành cho chuỗi, một số người dùng hy vọng rằng Binance sẽ có thể theo dõi bên chịu trách nhiệm và can thiệp để giảm thiểu tác động của vụ hack.

Đem tiền của người dùng làm thử nghiệm và hứa trả lại?

Sau 2 ngày, hôm nay một nhà phát triển Meerkat Finance tự nhận mình là “Jamboo” đã đăng một thông báo ngắn trên một kênh Telegram mới được tạo “Meerkatrefunds”. Trong đó, Jamboo nói rằng việc khai thác là một "thử nghiệm" lòng tham" và "tính chủ quan" của người dùng, nhóm đang chuẩn bị hoàn tiền cho tất cả nạn nhân.

Jamboo đã cung cấp bằng chứng về mối liên kết của họ với Meerkat bằng cách gửi một giao dịch nhỏ từ người triển khai Meerkat, chứng minh rằng họ có quyền truy cập vào hợp đồng đã khai thác (hoặc giao tiếp với ai đó). Giao dịch đã được xử lý trên mạng Binance Smart Chain khoảng 20 phút sau khi đăng Telegram của Jamboo.

Một số người nghĩ rằng việc khai thác là một phép thử đối với tuyên bố của Binance Smart Chain về phân quyền. BSC được điều hành bởi một mạng lưới gồm 21 node xác thực, nhiều node trong số đó được cho là được liên kết hoặc điều hành trực tiếp bởi Binance.

Tương tự như vậy, việc khai thác đã đặt kẻ tấn công vào một tình thế khó khăn: Binance kiểm soát đường tắt đối với BSC, có nghĩa là bất kỳ khoản tiền bị đánh cắp nào đều bị khóa trên chuỗi và không thể rút lợi nhuận ra.

Giờ đây, sự chú ý chuyển sang các nhà phát triển Meerkat. Thông điệp của Jamboo ngắn gọn, các chi tiết cụ thể chỉ chứa các tham chiếu mơ hồ về những gì đã xúi giục nhóm đánh cắp 31 triệu đô la từ người dùng. Jamboo đã viết rằng nhóm nghiên cứu “đã mời một bên thứ ba (hacker) tấn công lỗ hổng thông qua hợp đồng ủy quyền xác minh” và một báo cáo đầy đủ về việc khai thác sẽ được phát hành. Theo Jamboo, vụ trộm là một minh chứng cho thấy sự hám lợi tràn ngập DeFi.

Bài học rút ra là gì?

DeFi rất cần thiết, nhưng nó có rất nhiều sai sót. Liệu rằng một dự án quá dễ dàng xây dựng lòng tin của người dùng - đánh cắp tiền của họ - sau đó tuyên bố trả lại cùng lời chê trách lòng tham hiện nay quá lớn là thật sự thoả đáng?

Có chăng chính người dùng từ nay nên cảnh giác hơn với các dự án để không vừa mất tiền, vừa mất sức cũng như chuốc lại sự phiền toái trong quá trình đầu tư.

Theo dõi thêm các thông tin cập nhật mới nhất từ thị trường Crypto tại MarginATM nhé.

RELEVANT SERIES