Trong tháng 2, đã có 7 vụ tấn công vào giao thức DeFi, thiệt hại 21 triệu USD.
Các nền tảng trong không gian tài chính phi tập trung DeFi đã bị hacker “ôm” 21 triệu USD.
Không gian tài chính DeFi và tiền điện tử là bước tiến fintech vĩ đại của thế kỷ XXI, chúng có tầm ảnh hưởng đáng kể tới mảng tài chính, tuy nhiên 2 mảng này cũng là miếng mồi ngon khi nhắc tới lợi nhuận.
DeFi và Cryptocurrency là hai trong số những đột phá fintech quan trọng nhất của thế kỷ XXI, và chúng đã có ảnh hưởng đáng kể đến lĩnh vực tài chính của thế giới. Vì sự phát triển nhanh chóng của DeFi, nên vô hình trung nó lại trở thành cách thức phổ biến để lừa đảo.
Mặc dù các protocol trong DeFi liên tục củng cố và cải thiện tính bảo mật của mình nhưng trong blockchain không có điều gì là tuyệt đối. Nhiều dự án DeFi không tuân thủ đúng quy trình kiểm tra bảo mật trước khi đi vào hoạt động. Đó chính là lỗ hổng để những “kẻ đi săn” hoàn toàn có thể đột nhập.
Nhiều dự án sử dụng cầu nối cross-chain vốn là mục tiêu của những tên trộm công nghệ. Tính trong năm 2022, đã có 1,4 tỷ USD tài sản tiền điện tử bị đánh cắp trong năm 2022. Trong 10 vụ hack lớn nhất, đã có đến 4 vụ hack liên quan đến các cross-chain bridge như Ronin Network, Wormhole, Nomad, Harmony,…
Trong năm 2023, theo thống kê DefiLlama, tính riêng trong tháng 2, đã có 7 vụ tấn công vào mảng DeFi gây ra thiệt hại ban đầu 21 triệu USD.
BonqDAO: 1,7 triệu USD
BonqDAO đã thông báo rằng giao thức Bonq của họ đã bị hacker đột nhập, tấn công smart contract, gây ra thiệt hại khá lớn bằng việc thao túng giá token ALBT (AllianceBlock).
Kẻ tấn công đã đẩy giá wALBT đồng thời mint một lượng lớn BEUR. BEUR được swap sang các token khác trên Uniswap. Hacker đã hoán đổi 500.000 BEUR lấy USDC trên Uniswap trước khi đốt tất cả 113,8 triệu wALBT để unlock ALBT. Giá ALBT đã có thời điểm giảm xuống bằng 0, kích hoạt một lượng lớn các lệnh thanh lý ALBT.
PeckShield ước tính thiệt hại của vụ trộm là 120 triệu USD song con số này rút lại chỉ còn 1,7 triệu USD vì thiếu thanh khoản trên BonqDAO.
Orion Protocol: 3 triệu USD
Chỉ một ngày sau, sàn giao dịch phi tập trung Orion Protocol đã bị hacker đột nhập đánh cắp số tài sản ước tính 3 triệu USD. Nguyên nhân do lỗ hổng bảo mật của bên đối tác trung gian đã trở thành cầu nối giúp nhóm tội phạm mạng xâm nhập vào hệ thống.
Hacker đã tấn công hợp đồng thông minh bằng mã độc để thực hiện các lệnh rút tiền liên tục “depositAsset” trong thời gian ngắn. CEO Orion Protocol – Alexey Koloskov đã lên tiếng xác nhận vụ việc, thông báo với người dùng rằng: “Toàn bộ tài sản của người dùng đều đang được bảo mật an toàn”.
dForce Network: 3,65 triệu USD
dForce Network chính là cái tên tiếp theo trong hệ sinh thái DeFi trở thành nạn nhân của một cuộc tấn công tinh vi, thiệt hại ước tính khoảng 3,65 triệu USD. Kẻ tấn công đã nhắm mục tiêu vào “ngân hàng” của giao thức trên nền tảng tạo lập thị trường tự động (AMM) – Curve Finance, hoạt động trên các blockchain Arbitrum và Optimism.
Kiểu tấn công này còn được gọi là reentrancy attack, xảy ra khi một kẻ xấu liên tục rút tiền được chuyển đến một hợp đồng trái phép. Hacker đã thao túng giá ETH đã stake trong Curve Finance, mở vị thế thanh lý bằng việc sử dụng ETH làm tài sản thế chấp. Ngày 13/2, toàn bộ số tiền bị đánh cắp đã được hoàn lại multi-sig trên Arbitrum và Optimism.
Platypus Finance: 9,1 triệu USD
Ngày 16/2, giao thức DeFi Platypus Finance đã bị tấn công fast loan, 8,5 triệu USD bị tháo khỏi giao thức. Hacker đã thông qua lỗ hổng trong cơ chế kiểm duyệt khả năng thanh toán của USP.
Trong cuộc tấn công này, USDT, USDC, DAI và BUSD của Binance đã bị rút cạn khỏi các bể thanh khoản chính của giao thức, thiệt hại 8,5 triệu USD. Sau đó, tin tặc chuyển các khoản tiền đánh cắp qua giao thức trộn tiền mã hóa Tornado Cash và Aztec Network.
Cảnh sát Pháp đã bắt giữ thành công 2 đối tượng được cho là đứng sau vụ tấn công này. Khoảng 2,4 triệu stablecoin USDC đã được thu hồi, nhờ sự giúp sức của BlockSec, Binance và ZachXBT, khôi phục được 1,5 triệu USD USDT.
Hope Finance: 1,86 triệu USD
Hope Finance – dự án khởi chạy trên chuỗi Artribum đã trở thành con mồi của nhóm tấn công, ngày 20/2, Hop Finance bị lấy đi số tài sản ước tính lên tới 2 triệu USD.
Công ty bảo mật Web3 CertiK đã thông báo về vụ việc trên. Các bài đăng trên tài khoản cáo buộc rằng một công dân Nigeria đã di chuyển hơn 1,86 triệu USD sang Tornado Cash ngay sau khi nền tảng này hoạt động vào ngày 20/2.
Một thành viên của nhóm CertiK đã nói với Cointelegraph rằng tên trộm đã thay đổi một vài dòng code trên hợp đồng thông minh để thực hiện rút tiền khỏi Hope Finance.
Dexible: 2 triệu USD
Dexible đã bị hacker tấn công vào chức năng selfSwap của ứng dụng, hậu quả khiến khoản tiền trị giá 2 triệu USD bị mất. Ngày 18/2, phía Dexible thông báo: “Một hacker đã tấn công lỗ hổng trong hợp đồng thông minh mới nhất của chúng tôi”
Chức năng selfSwap cho phép người dùng cung cấp địa chỉ của bộ định tuyến và dữ liệu cuộc gọi được liên kết với nó để swap token với nhau. Sau khi nhận được token vào hợp đồng thông minh của riêng mình, kẻ tấn công đã chuyển tiền vào bộ trộn Tornado Cash thành BNB.
LaunchZone: 700.000 USD
Tối ngày 17/2, LaunchZone đã xác nhận sự cố bảo mật, dẫn đến việc 700.000 USD (hơn 80% số tiền trong pool thanh khoản) bị rút cạn, token chính của dự án (LZ) cũng bị giảm mạnh.
Theo Immunefi, kẻ tấn công đã tận dụng một hợp đồng chưa được xác minh để rút tiền. “LaunchZone đang bị công cụ DND tấn công. Chúng tôi đang xử lý tình huống, vui lòng không mua token lúc này. Hãy giữ bình tĩnh. Chúng tôi sẽ cập nhật thông tin sớm nhất có thể”, LaunchZone viết.
“Người triển khai LaunchZone đã phê duyệt hợp đồng chưa được xác minh cách đây 473 ngày,” Immunefi cho biết. Theo dữ liệu từ Chainalysis, nhóm hacker đã đánh cắp 3,1 tỷ USD từ các giao thức DeFi vào năm 2022, chiếm hơn 82% tổng số tiền bị đánh cắp trong năm.
Nguồn Cointelegraph
Trader_Z
Các quan điểm và ý kiến được thể hiện bởi tác giả, hoặc bất kỳ người nào được đề cập trong bài viết này, chỉ nhằm mục đích cung cấp thông tin và chúng không cấu thành lời khuyên về tài chính, đầu tư hoặc các lời khuyên khác