Thực hư Defrost Finance tự hack

Peckshield, công ty bảo mật blockchain, nghi ngờ vụ hack Defrost Finance vào ngày 23/12 có thể là vụ rug pull nhằm thu về 12 triệu USD.

immihu.web3

Published Dec 26 2022

Updated Dec 26 2022

3 min read

Peckshield, công ty bảo mật blockchain, nghi ngờ vụ hack Defrost Finance vào ngày 23/12 có thể là vụ rug pull nhằm thu về 12 triệu USD.

Trong bài đăng trên Twitter ngày 25/12, Defrost Finance, ứng dụng tài chính phi tập trung, cho biết cuộc tấn công flash loan nhằm rút tiền ra khỏi sản phẩm phiên bản thứ hai của dự án. Tấn công flash loan là hành động kẻ hacker vay mượn chớp nhoáng (flash loan) để tìm kiếm lợi nhuận từ việc chênh lệch giá.

The @Defrost_Finance is exploited, leading to the gain of ~$173k for the hacker. The hack is made possible due to the lack of reentrancy lock for the flashloan()/deposit() functions, which was used by the hacker to manipulate the share price of LSWUSDC. pic.twitter.com/SINHUZXC0D
— PeckShieldAlert (@PeckShieldAlert) December 23, 2022

Không chỉ dừng lại ở đó, ngày 25/12, một cuộc tấn công khác đã diễn ra trên phiên bản đầu tiên của dự án khi kẻ tấn công trộm mật mã (owner key). Đến hiện tại, dự án đã thiệt hại hơn 2 triệu USD.

Về phía dự án, đội ngũ Defrost cho biết sẵn sàng thương lượng với hacker và chia sẻ 20% số tiền hacker đã đánh cắp.

The Defrost team is willing to negotiate with the hacker(s).

We are willing to discuss sharing 20% (negotiable) of the funds in exchange for the bulk of assets and are calling on the hackers to contact us asap.
— Defrost Finance 🔺 (@Defrost_Finance) December 25, 2022

Tuy nhiên, vào ngày 26/12, Peckshield lại đưa ra các chứng cứ nghi ngờ vụ hack vài ngày trước của Defrost Finance hóa ra là một vụ rug pull. Rug pull được định nghĩa là khi nhà lập trình tạo ra các hồ thanh khoản rồi rút hết tài sản sau khi người dùng gửi tiền vào đó.

Khối lượng tài sản bị khóa trên Defrost Finance đã giảm từ đỉnh 95 triệu USD vào tháng 2 về 13 triệu USD vài tuần trước. Đến ngày 25/12, số tài sản này chỉ còn 93,000 USD.

Peckshield phát hiện một tài sản thế chấp giả đã được thêm vào trên Defrost Finance và bị thao túng giá dẫn đến việc thanh lý tài sản của người dùng. Điều này gây thiệt hại lên đến 12 triệu USD.

We received community intel warning the rugpull of @Defrost_Finance. Our analysis shows a fake collateral token is added and a malicious price oracle is used to liquidate current users. The loss is estimated to be >$12M. https://t.co/70iu38OYh7 pic.twitter.com/rSKklgV71I
— PeckShield Inc. (@peckshield) December 24, 2022

Thông thường, sau các vụ tấn công, đội ngũ dự án sẽ im lặng và cắt đứt liên lạc. Tuy nhiên, Defrost Finance lại đưa ra ý kiến muốn thương lượng với người tấn công. Mặc dù vậy, dường như hacker sẽ không thể liên hệ thông qua Twitter bởi dự án đã tắt tính năng nhắn tin trên tài khoản của họ.