Bogged Finance trên BSC bị tấn công Flash Loan thiệt hại 3 triệu USD
Bogged Finance bị tấn công Flash Loan gây thiệt hại 3 triệu USD.
Các quỹ được an toàn, Bogged Finance lên tiếng trấn an sau khi xảy ra cuộc tấn công Flash Loan khiến 3 triệu USD bị bốc hơi.
Hệ sinh thái tài chính phi tập trung (DeFi) của Binance Smart Chain (BSC) đã chứng kiến đợt khai thác khoản vay nhanh (Flash Loan) thứ hai trong cùng một tuần. Sự kiện đầu tiên liên quan đến giao thức PancakeBunny ngày 20/5/2021 khiến giá trị token của dự án này mất đi hơn 95% giá trị. Một cuộc tấn công mới đã lấy đi 3 triệu USD (một nửa tổng lượng thanh khoản), từ nền tảng DeFi Bogged Finance (BOG). Nhóm nghiên cứu đã xác nhận cuộc tấn công vào Chủ nhật và phát đi cảnh báo người dùng không mua token của nó cho đến khi vấn đề được giải quyết triệt để.
Nhóm nhà phát triển đã xác định và giảm thiểu việc khai thác trong vòng 45 giây (hoặc 15 khối), nhờ vào một cuộc họp trực tuyến được tổ chức khi cuộc tấn công bắt đầu. Tuy nhiên, kẻ tấn công đã có thể rút 3 triệu USD trong số 6 triệu USD tổng lượng thanh khoản tại thời điểm đó. Giá token BOG đã giảm từ khoảng 1,8 USD xuống còn 0,0003 USD sau cuộc tấn công.
Bogged Finance cho phép người dùng đặt lệnh giới hạn đối với bất kỳ token nào dựa trên BSC. Nhóm đã chia sẻ chi tiết về cuộc tấn công trong một bài đăng trên Medium:
“Kẻ tấn công đã có thể sử dụng các khoản vay nhanh (Flash Loan) để khai thác một lỗ hổng trong phần đặt cược của hợp đồng thông minh (smart contract) BOG để thao túng phần thưởng đặt cược và gây ra lạm phát nguồn cung dẫn đến việc không tính phí giao dịch và gây ra lạm phát ròng”.
Theo nhóm, giới hạn giao dịch 47.500 BOG đã làm chậm quá trình tự động của kẻ tấn công và có khả năng giảm nhẹ thiệt hại. Trong vòng 45 giây trước khi nhà phát triển vá lỗi khai thác bằng cách vô hiệu hóa phí giao dịch, tin tặc đã có thể thực hiện tổng cộng 11 giao dịch và “rút ruột” được 11.358 Binance Coin (BNB).
Nhóm đang làm việc để chuyển thanh khoản sang một hợp đồng mới bằng cách “sử dụng cùng một cách khai thác mà kẻ tấn công đã sử dụng”. Nó sẽ triển khai một phiên bản cập nhật của hợp đồng cho Binance Smart Chain.
Sau khi đốt khoảng 7,5 triệu token đã được đúc ra (mint) trước đó trong quá trình di chuyển, Bogged Finance sẽ cho đi (airdrop) một lượng token thanh khoản của chủ sở hữu. Nếu bạn đã mua BOG, token gốc của nền tảng, thì điều đó vẫn sẽ an toàn. Nhóm dự kiến sẽ có một nguồn cung lưu hành (circulating supply) nhỏ hơn sau toàn bộ quá trình này. Dự kiến sẽ mất khoảng 48 giờ để thực hiện.
Tuần trước, giao thức DeFi dựa trên BSC nổi bật PancakeBunny đã hứng chịu một cuộc tấn công theo cách tương tự. Tin tặc đã kiếm được hơn 200 triệu USD tiền mã hóa bằng cách sử dụng một khai thác trong một cuộc tấn công cho vay nhanh.