Câu chuyện về vụ rug pull trị giá 22 triệu USD từ StableMagnet

StableMagnet hiện đang rút tiền trực tiếp từ ví của người dùng đã kết nối đến giao thức trước đó. Nếu bạn đã tương tác với StableMagnet, hay thu hồi lại quyền liên kết tới ví của bạn để đảm bảo an toàn.

7021Total views

Listen to article

play!

Cau chuyen ve vu rug pull tri gia 22 trieu USD tu StableMagnet - anh 1

Câu chuyện về vụ rug pull trị giá 22 triệu USD từ StableMagnet. Nguồn: Cointelegraph.

StableMagnet và câu chuyện rug pull trị giá 22 triệu USD

Ngày 24/6/2021 vừa qua, một giao thức tạo lập thị trường tự động (AMM) có tên StableMagnet đã “cuỗm” (rug pull) đi 22 triệu USD từ ví người dùng của họ tại StableMagnet 3Pool. Thậm chí, một số nguồn tin còn cho rằng, số tiền thực tế lớn hơn như vậy (khoảng 27 triệu USD). Tại thời điểm mình viết bài này, Website chính thức của giao thức StableMagnet hiện đã không thể truy cập được.

Cau chuyen ve vu rug pull tri gia 22 trieu USD tu StableMagnet - anh 2 — *Tổng lượng tiền bị hack trên mạng lưới Ethereum. Nguồn: slowmist.io.*

Rug pull vốn không phải là điều gì quá mới mẻ và xa lạ trong thị trường tiền mã hóa nói chung. Tuy nhiên, rug pull từ StableMagnet có một số điểm khác biệt. Vấn đề được chỉ ra ở đây là bằng một cách nào đó, những kẻ lừa đảo tại StableMagnet đã “qua mặt” cả Etherscan và BscScan, khiến chúng không xác minh được mã nguồn thư viện được liên kết (SwapUtils). Thư viện SwapUtils có dạng như này: 0xE25d05777BB4bD0FD0Ca1297C434e612803eaA9a. Lợi dụng việc này, những kẻ lừa đảo đã triển khai một thư viện mã khác hoàn toàn so với đoạn mã đã được trích dẫn trong mã nguồn trước đó.

Kế hoạch hợp thức hóa tiền đánh cắp của kẻ lừa đảo

Các khoản tiền Stablecoin bị đánh cắp được chia thành nhiều địa chỉ khác nhau, sau đó, số tiền này được gửi lên sàn Binance. BUSD được gửi lên ví nóng của sàn Binance: 0x2bac04457e5de654cf1600b803e714c2c3fb96d7

Cau chuyen ve vu rug pull tri gia 22 trieu USD tu StableMagnet - anh 3 — *Tiền được chuyển lên sàn Binance.*

Sau đó nó được thực hiện chuyển sang mạng lưới Ethereum để đổi lấy Tether (USDT): 0xDF5B180c0734fC448BE30B7FF2c5bFc262bDEF26.

Cau chuyen ve vu rug pull tri gia 22 trieu USD tu StableMagnet - anh 4 — *Tiền sau đó được hoán đổi sang USDT.*

Đến đây, những kẻ lừa đảo sẽ chuyển sang USDT để hoán đổi sang đồng DAI: 0xe5daac909a3205f99d370bc2b32b1810a4912a07.

Cau chuyen ve vu rug pull tri gia 22 trieu USD tu StableMagnet - anh 5 — *Tiền sau đó được hoán đổi để lấy DAI.*

Một vài điểm đáng ngờ đằng sau vụ rug pull của StableMagnet

Thứ nhất, trên thực tế, hợp đồng của StableMagnet đã được thực hiện audit (đánh giá rủi ro an ninh mạng) bởi Techrate. Tuy nhiên, thông tin từ một số nguồn tin ẩn danh của Rekt, bản thân Techrate đã kiểm tra Github của dự án nhưng họ lại không kiểm tra hợp đồng đã triển khai. Trong khi đó, Rekt cũng cho biết thêm, bản thân Techrate đã được cảnh báo về lỗ hổng rug pull này nhưng họ lại không có hành động gì. Điều này dấy lên nghi ngờ về việc vụ việc xảy ra lần này tại StableMagnet có liên quan đến công ty an ninh mạng kể trên. Trong quá khứ, lịch sử đã chứng minh có ít nhất hai vụ hack lớn đã bị chính những người thực hiện audit tấn công.

Thứ hai, trong quá trình chuyển đổi lượng tiền đã đánh cắp được lên sàn Binance, dường như cũng đã có sự cố xảy ra liên quan đến quá trình KYC trên sàn giao dịch này. Điều này cũng đặt ra câu hỏi rằng sàn Binance thực sự bị lỗi về KYC thời điểm đó, hay đơn giản là họ cũng không tuân thủ các quy định chặt chẽ liên quan đến vấn đề này như cách chúng ta vẫn nghĩ?

Mặc dù chúng ta chưa thể có câu trả lời chính xác cho các nghi ngờ này, tuy nhiên, ở góc độ người dùng đây cũng là điều khiến phần lớn chúng ta quan tâm. Sự kiện rug pull tại StableMagnet đã, số tiền của các nhà đầu tư cũng đã bị đánh cắp và rất có thể vẫn còn nhiều người có nguy cơ trở thành nạn nhân của vụ rug pull này. Một số lưu ý dưới đây sẽ giúp phần nào bảo toàn tài sản của bạn trong thị trường tiền mã hóa.

Một số lưu ý từ vụ rug pull tại StableMagnet

Thứ nhất, như diễn biến của vụ rug pull kể trên, kẻ lừa đảo đã có thể dễ dàng lấy đi tiền trong chính ví của người dùng. Điều này là do quá trình kết nối ví tới giao thức đã được người dùng đồng ý. Để tránh biến mình trở thành nạn nhân tiếp theo, nếu bạn đã từng tham gia giao dịch trên giao thức này, hãy kiểm tra lại quá trình kết nối ví để đảm bảo bạn đã ngắt việc cấp quyền truy cập cho giao thức. Hãy sử dụng công cụ BSC Token Approval Checker để kiểm tra việc kết nối này.

Thứ hai, đừng quá tin tưởng vào việc audit từ các công ty an ninh. Trên thực tế, không phải việc đánh giá có nghĩa là dự án đó đã an toàn tuyệt đối. Nó chỉ giúp giảm thiểu đến mức tối đa rủi ro có thể xảy đến đối với dự án mà thôi. Chưa kể, trong một số trường hợp như vụ của StableMagnet bản thân công ty an ninh cũng đang trong diện nghi ngờ. Do đó, hãy có một chiến lược giao dịch và phân bổ vốn cho phù hợp để tránh tự biến mình trở thành nạn nhân của các vấn nạn này.

Lời kết

Rug pull từ StableMagnet là một trong rất nhiều vụ tấn công diễn ra trên môi trường tiền mã hóa. Có thể thấy, với các giao thức DeFi, luôn tiềm ẩn những rủi ro có thể xảy đến bất cứ lúc nào. Thị trường tiền mã hóa có thể mang đến những khoản lợi nhuận khổng lồ nhưng đổi lại bạn có thể trở thành nạn nhân của các vụ tấn công tương tự như thế này bất cứ lúc nào. Vậy nên, hãy nghiên cứu thật kỹ về các dự án bạn dự định tham gia để có thể đánh giá một cách khách quan nhất về tiềm năng cũng như rủi ro của nó trước khi bắt đầu nhé.