DFX Finance – giao thức được Polychain Capital hậu thuẫn, vừa bị hack gây thiệt hại ước tính 7,5 triệu USD
DFX Finance, một giao thức trao đổi phi tập trung cho các stablecoin được chốt bằng fiat, cho biết rằng nó đã bị tấn công vào lúc 2:21 chiều theo giờ ET. Theo ước tính từ các nhà nghiên cứu bảo mật tại BlockSec, một kẻ tấn công không xác định đã đánh cắp khoảng 7,5 triệu USD.
Đội ngũ của DFX Finance đã thừa nhận về vụ hack và cho biết họ đã tạm dừng tất cả các hợp đồng thông minh của mình để giải quyết vấn đề này. “Chúng tôi đã được thông báo về hoạt động đáng ngờ trong vòng 20-30 phút kể từ giao dịch đầu tiên và thực hiện việc tạm dừng tất cả các hợp đồng DFX trong vòng vài phút sau khi xác nhận cuộc tấn công.” – Đại diện DFX Finance cho biết.
Kẻ tấn công đã lợi dụng cơ chế cho vay nhanh không an toàn do DFX Finance cung cấp trên chuỗi khối Ethereum. Khoản vay nhanh là một tính năng mà trong đó một lượng lớn tiền mã hoá có thể được vay mà không cần thế chấp khi những khoản tiền đó được trả lại trong cùng một giao dịch.
Trong cuộc tấn công, kẻ tấn công đã vay các stablecoin trong DFX Finance và sau đó gửi chúng trở lại vào các bể thanh khoản của DFX với “chức năng gọi lại không an toàn” và đã bỏ qua kiểm tra khoản vay nhanh của nó. Sau khi cho vay nhanh, kẻ tấn công vẫn còn sở hữu các mã thông báo quỹ thanh khoản và chúng đã bán đi.
Kẻ tấn công đã rút sạch các mã thông báo quỹ thanh khoản của DFX thông qua nhiều khoản vay nhanh để chiếm quyền kiểm soát hơn 7,5 triệu đô la Mỹ. Các nhà phân tích bảo mật tại BlockSec cho rằng không nên cho phép gửi tiền vào nhóm thanh khoản, vì nó đã đánh lừa giao thức tin rằng các khoản tiền đã được trả lại và được bảo mật.
Trong số 7,5 triệu USD tài sản bị đánh cắp, kẻ tấn công chỉ có thể chuyển số tài sản trị giá 4,3 triệu USD vào ví của chúng – bao gồm 2963 Ether (khoảng 3,8 triệu USD) và khoảng 500.000 USD stablecoin.
Phần còn lại của số tài sản bị đánh cắp – khoảng 3,2 triệu đô la Mỹ được trích xuất bởi một bot MEV trong một giao dịch chạy trước, còn được gọi là “sandwich attack”. Các khoản tiền do bot khai thác nằm trong một địa chỉ do người điều hành bot kiểm soát và có thể được thu hồi nếu người điều hành sẵn sàng. DFX Finance đã yêu cầu nhà điều hành trả lại chúng.
“Khi người dùng vay tiền, giao thức không được cho phép bất kỳ lệnh gọi hàm nào có thể thay đổi số dư của giao thức DFX” – Giám đốc điều hành BlockSec Yajin Zhou chia sẻ.
Mặc dù các khoản vay nhanh dành cho giao dịch chênh lệch giá và nâng cao hiệu quả sử dụng vốn nhưng các tin tặc đã thường xuyên lạm dụng chúng để khai thác một số lỗ hổng nhất định.
Năm ngoái, DFX Finance đã huy động được vòng hạt giống trị giá 5 triệu đô la do Polychain Capital và True Ventures dẫn đầu.
Coinvn tổng hợp