DAO Maker liên tiếp bị hacker tấn công 2 lần trong vòng chưa đầy 1 tháng

DAO Maker bị hacker “ghé thăm” vào đầu tháng 8

Sự mở rộng nhanh chóng của DAO Maker đã đặt ra một số thách thức cho hệ sinh thái. Cụ thể, vào ngày 12 tháng 8 (khoảng 1 giờ sáng UTC) DAO Maker phải đối mặt với việc hacker đã khai thác lổ hổng hàm init () đánh cắp tài sản của người dùng bằng cách sử dụng ví có quyền quản trị mạng lưới.

Hacker đã thử nghiệm khai thác lỗ hổng hàm init () và ví quản trị mạng lưới để đánh cắp 10,000 USDC, sau đó tiến hành thực hiện thêm 15 giao dịch.

Bằng cách này, hacker đã có thể đánh cắp khoảng 7 triệu USD cho đến khi nhóm bảo mật của DAO Maker có thể theo dõi, sửa chữa và ngăn chặn việc rút tiền. Tính tới nay, tổng cộng có 5,251 người dùng bị ảnh hưởng, mỗi người dùng mất trung bình $1,250 USD.

Ngay sau đó, Dao Maker đã quyết định chuyển các khoản tiền không bị ảnh hưởng sang ví hoàn toàn mới để đảm bảo an toàn, và người dùng vẫn có thể rút tiền của họ mà không gặp bất kỳ trở ngại nào.

Giải thích từ ngữ: Dao Maker là một blockchain SaaS (Software-as-a-Service). Dao Maker cung cấp các dịch vụ B2B và B2B2C bao gồm: thiết kế Tokenomics, tạo cộng đồng, tư vấn chiến lược để xây dựng thương hiệu, gây quỹ, quản lý tài sản…

Cipher Blade, một công ty bảo mật blockchain hàng đầu, đã ký hợp đồng. Ngoài ra, họ đang làm mọi thứ để theo dõi hacker và hoàn trả lại số tiền bị đánh cắp. Họ đã xác định một tài khoản Binance thông qua Etherscan và đang tìm hiểu về nơi ở của hacker. Ngoài ra, DAO Maker cũng đã cung cấp địa chỉ ví của hacker cho tất cả các sàn giao dịch để họ ngăn chặn mọi giao dịch của địa chỉ ví này.

SHO luôn là nơi tiềm ẩn rủi do, vì nó được dùng cho hoạt động nắm giữ một token dự án nào đó từ phía nhà đầu tư. Đây là lý do chính xác tại sao DAO Maker đưa ra một số quy định, chẳng hạn như giới hạn số tiền gửi cá nhân tối đa ở mức 10,000 USDC.

Giải thích từ ngữ: SHO là một cụm từ chỉ dành cho người dùng hoạt động tích cực hoặc nắm giữ một token dự án nào đó. Có thể nói, SHO là một cách phân bổ token trên DAO Maker – một Blockchain SaaS (Software-as-a-Service) cung cấp công cụ cho việc gây quỹ. Nhà đầu tư cần hold token DAO thì mới có thể trúng vé tham gia IDO chẳng hạn như Alice. 

DAO Maker tiếp tục bị “tấn công” vào tháng 9

Chức năng hàm init () của DAO Maker dễ bị xâm hại dẫn đến việc hacker tiếp tục tấn công 4 mã thông báo. Lần này hacker tiếp tục sử dụng phương thức như cũ nhưng với 2 ví quản trị mới. Sau đó, nhóm hacker có thể sử dụng chức năng EmergencyExit () để rút tiền.

Bốn hợp đồng và các giao dịch rút tiền mà các hacker thực hiện được liệt kê dưới đây:

• 0x6e70c88be1d5c2a4c0c8205764d01abe6a3d2e22 đã lấy 13,5 triệu CAPS.
• 0xd6c8dd834abeeefa7a663c1265ce840ca457b1ec đã lấy 5 triệu CDP chia làm 2 lần.
• 0xdd571023d95ff6ce5716bf112ccb752e86212167 đã lấy 1,44 triệu DERC.
• 0xa43b89d5e7951d410585360f6808133e8b919289 đã lấy khoảng 20,6 triệu SHO.

Hacker đã khai thác và tiến hành bán các mã thông báo đánh cắp được trên sàn 1Inch, thông tin chi tiết như sau:

• Ternoa: 13,5 triệu CAPS cho 378,189 DAI trên 1Inch.
• Coinspaid: 5M CPD cho 158,216 DAI trên 1Inch.
• DeRace: 1,44 triệu DERC cho 997,833 DAI trên 1Inch.
• Showcase: 20,6M SHO cho 67.663 DAI trên MetaMask Swap Router.

Các mã thông báo giảm giá trị theo cấp độ tăng dần như sau: Ternoa (CAPS) đã giảm 45%, CoinssPaid (CPD) giảm 60%, DeRace (DERC) và Show case (SHO) cùng giảm 75% so với mức giá ban đầu.

Nhận định

DAO Maker là một trong những cái tên hàng đầu về blockchain SaaS và có khá nhiều dự án sử dụng sản phẩm của họ. Tuy nhiên, đây không phải lần đầu tiên Dao Maker bị tấn công. Vào tháng 8, Dao Maker từng bị hacker tấn công và nhóm hacker này đã sử dụng một phương thức y hệt với vụ hack tháng 9. Hiện tại, phía Dao Maker đã qui trách nhiệm cho các công ty audit là Hacken, Certik…, còn phía các công ty audit lại cho rằng điều này xảy ra là do ví quản trị từ phía DAO. Cho dù là thế nào đi chăng nữa thì sự thật vẫn là hệ thống bảo mật của DAO Maker chưa hoàn chỉnh nên mới dẫn tới việc hacker có thể đánh cắp 7 triệu USD vào tháng 8. Tiếp đó là do việc sửa chữa lỗi bảo mật của DAO Maker chưa hoàn toàn triệt để nên hacker lại tiếp tục đánh cắp được 4 triệu USD của người dùng vào tháng 9. Nếu những sự cố bảo mật này không được sửa chữa kịp thời thì trong tương lai, những khách hàng của DAO Maker có khả năng sẽ rời bỏ dự án và chuyển sang một dự án khác có tính bảo mật cao hơn. 

Xem ngay: Hướng dẫn Sho DAO Maker mới nhất.