Điểm lại Top 10 vụ hack DeFi nghiêm trọng nhất trong năm 2022

Hiện có hàng nghìn ứng dụng phi tập trung (hay còn gọi là Dapp) đang được sử dụng. Theo dữ liệu được DeFiLlama thống kê, tổng giá trị bị khóa (TVL) trong DeFi là hơn 53,73 tỷ USD, một “mảnh đất” béo bở cho tin tặc.

Hiện trạng 

Giống như Bitcoin, DeFi vẫn có những đặc điểm đó là phi tập trung và quyền riêng tư, duy trì sự tách biệt khỏi sự giám sát của chính phủ. Tuy nhiên, yếu tố không được kiểm soát và tự do cũng là nguyên nhân mang đến những rủi ro cho DeFi. 

Theo công ty bảo mật blockchain PeckShield, các tin tặc đã đánh cắp hơn 2,32 tỷ USD trong hơn 135 lần khai thác, từ ngành DeFi tính từ đầu năm 2022 đến nay. Con số này cao hơn 50% nếu so với thiệt hại trong cả năm 2021.

Trong những năm qua, tin tặc đã sử dụng nhiều chiến thuật khác nhau để thực hiện hành vi xấu xa của mình. Cơ sở dữ liệu REKT cho biết các phương pháp tấn công được sử dụng nhiều nhất bao gồm honeypot, thoát lừa đảo, khai thác, kiểm soát truy cập và cho vay nhanh. Dưới đây là 10 vụ hack DeFi nghiêm trọng nhất từ đầu năm  đến nay, do PeckShield tổng hợp.

10 vụ tấn công DeFi nghiêm trọng nhất năm 2022

Tiếp sau đây chúng ta sẽ cùng điểm lại Top 10 vụ tấn công DeFi gây thiệt hại nặng nề nhất từ đầu năm đến nay, xếp theo mức độ thiệt hại từ cao đến thấp.

Mạng Ronin: Thiệt hại khoảng 620 triệu USD

Ronin Network, sidechain dựa trên Ethereum cho trò chơi tiền mã hoá Axie Infinity, vào tháng 3 đã bị lừa đảo lấy hơn 620 triệu USDETH và USDC. Kẻ tấn công đã “sử dụng các khóa riêng bị tấn công để thực hiện việc rút tiền giả” từ hợp đồng cầu nối Ronin trong hai giao dịch.

Vụ khai thác xảy ra vào ngày 23 tháng 3 nhưng một tuần sau đó mới bị phát hiện, khi một người dùng không rút được 5.000 ETH. Tổng cộng, hacker đã kiếm được 173.600 ETH và 25,5 triệu USDC, trị giá hơn 620 triệu USD vào thời điểm đó. Đây cũng là vụ hack mạng Ronin được coi là vụ hack DeFi lớn nhất trong lịch sử.

Cầu nối Wormhole: Thiệt hại khoảng 320 triệu USD

Vào ngày 2 tháng 2, một kẻ tấn công đã bòn rút hơn một lượng WETH trị giá hơn 320 triệu USD ra khỏi giao thức Wormhole, một cầu nối tiền mã hoá xuyên chuỗi phổ biến giữa Solana, Ethereum, Avalanche và một số mạng khác.

Người dùng Wormhole được yêu cầu đặt cược Ethereum để đúc WETH, một loại tiền mã hoá được gắn với giá của Ethereum.

Công ty phân tích Elliptic đổ lỗi cho vụ khai thác này là do Wormhole không xác thực được tài khoản “người giám hộ”, tạo điều kiện để kẻ tấn công chiếm đoạt 120.000 WETH mà không có Ethereum nào hỗ trợ. Sau đó, hacker đã đổi 93.750 WETH lấy Ethereum và đổi phần còn lại lấy Solana. Tổng giá trị thiệt hại vào thời điểm đó là hơn 320 triệu USD.

Cầu nối Nomad: Thiệt hại khoảng 190 triệu USD

Vào ngày 2 tháng 8, tin tặc đã rút khoảng 190 triệu USD tiền mã hoá từ Nomad, một công cụ cho phép người dùng hoán đổi mã thông báo từ chuỗi khối này sang chuỗi khối khác.

Cuộc tấn công bắt đầu với việc nâng cấp mã của Nomad. Một phần của hợp đồng thông minh được đánh dấu là hợp lệ mỗi khi người dùng thực hiện giao dịch. Điều này cho phép những kẻ xấu rút nhiều tài sản hơn số tài sản đã được gửi vào nền tảng. Các tin tặc đã lặp lại quá trình này cho đến khi 190 triệu USD tiền mã hoá được chuyển ra khỏi cầu nối. Vụ tấn công cũng được phát hiện khá muộn sau đó.

Beanstalk Farms: Thiệt hại khoảng 182 triệu USD

Vào tháng 4, một kẻ tấn công đã rút 182 triệu USD tiền mã hoá từ Beanstalk Farms, một giao thức DeFi nhằm mục đích cân bằng cung và cầu của các tài sản tiền mã hoá khác nhau.

PeckShield cho biết kẻ tấn công đã khai thác hệ thống quản lý phiếu bầu đa số của Beanstalk và bỏ phiếu để gửi cho mình 182 triệu USD. Công ty cho biết kẻ tấn công đã sử dụng một khoản vay chớp nhoáng để có được cổ phần kiểm soát trong giao thức, nhưng lợi nhuận thực tế của chúng chỉ ở mức 80 triệu USD.

Wintermute: Thiệt hại khoảng 160 triệu USD

Wintermute là giao thức DeFi mới nhất trở thành nạn nhân của tin tặc, kẻ đã kiếm được 160 triệu USD từ phần tài chính phi tập trung của nền tảng. Giám đốc điều hành, Evgeny Gaevoy cho biết vụ tấn công này có liên quan đến một lỗi nghiêm trọng trong công cụ tạo địa chỉ ảo của Ethereum.

Ông cho biết Wintermute đã sử dụng công cụ này để tạo một địa chỉ duy nhất nhằm cắt giảm chi phí giao dịch, không bao giờ là “phù phiếm”. 

• Bạn có thể tham khảo thêm bài viết Diễn biến mới nhất trong vụ hack của Wintermute để có thêm nhiều thông tin hữu ích.

Elrond: Thiệt hại khoảng 113 triệu USD

Vào tháng 6, tin tặc đã khai thác lỗ hổng trên sàn giao dịch phi tập trung Maiar để đánh cắp khoảng 1,65 triệu EGLD, mã thông báo gốc của blockchain Elrond. Các nhà nghiên cứu cho biết kẻ tấn công đã triển khai một hợp đồng thông minh và sử dụng ba ví để đánh cắp EGLD trị giá ước tính 113 triệu USD từ sàn giao dịch.

Các tin tặc đã ngay lập tức bán 800.000 mã thông báo với giá 54 triệu USD trên cùng một DEX và phần còn lại được bán trên các sàn giao dịch tập trung hoặc đổi lấy Ethereum.

Cầu nối Horizon: Thiệt hại khoảng 100 triệu USD

Chỉ vài ngày sau vụ khai thác Elrond, tin tặc lại tấn công vào ngày 23 tháng 6, tấn công cầu nối Horizon với số tiền gần 100 triệu USD. Horizon là một nền tảng tương tác chuỗi giữa các mạng blockchain Ethereum, Binance Smart Chain và Harmony.

PeckShield tiết lộ hơn 98 triệu USD trong các mã thông báo khác nhau đã được rút hết khỏi nền tảng do Harmony quản lý và được trao đổi sang Ether. Hơn 50.000 ví của người dùng đã bị ảnh hưởng. Các tin tặc sau đó đã chuyển 35 triệu USD thông qua Tornado Cash.

Qubit Finance: Thiệt hại khoảng 80 triệu USD

Giao thức DeFi cho biết vào ngày 28 tháng 1 rằng nó đã bị khai thác bởi một kẻ tấn công đã đánh cắp 206.809 BNB từ giao thức QBridge của nó. Tổng cộng, các mã thông báo được định giá là 80 triệu USD.

Theo công ty bảo mật Certik, kẻ tấn công đã tận dụng tùy chọn ký quỹ trong hợp đồng QBridge để đúc 77.162 qXETH – một số loại tiền mã hoá được sử dụng để đại diện cho Ethereum được bắc cầu qua Qubit. Kẻ tấn công đã đánh lừa nền tảng tin rằng họ đã đặt cọc. Sau khi lặp lại quy trình đủ lần, họ đã đổi tài sản thành BNB và biến mất.

Cashio: Thiệt hại khoảng 48 triệu USD

Cashio, một giao thức stablecoin trên Solana, đã gặp phải vấn đề mà nhóm nghiên cứu gọi là khai thác “trục trặc bạc hà vô hạn” vào tháng 3. Các tin tặc đã bòn rút 48 triệu USD từ giao thức, dẫn đến sự sụp đổ của stablecoin Cashio CASH.

Cashio cho phép người dùng đúc tiền ổn định CASH với tất cả các khoản tiền gửi được hỗ trợ bởi mã thông báo của nhà cung cấp thanh khoản chịu lãi suất. Kẻ tấn công đã đào hàng tỷ CASH và đổi chúng lấy USDC và UST, bản thân nó đã sụp đổ, trước khi rút tiền thông qua DEX Sabre.

CASH được chốt bằng USD đã giảm xuống còn 0 USD sau vụ hack. Kẻ tấn công đã trả lại tiền cho các tài khoản có ít hơn 100.000 USD và hứa sẽ quyên góp phần còn lại cho tổ chức từ thiện. 

Scream: Thiệt hại khoảng 38 triệu USD

Nền tảng cho vay dựa trên Fantom Scream có lẽ là một trong những vụ khai thác bất cẩn nhất trong DeFi năm nay, từ góc độ bảo mật giao thức. Scream gánh khoản nợ 38 triệu USD sau khi stablecoin, Fantom USD (fUSD) và DEI, vốn được định giá là 1 USD, bị mất chốt.

Vì giao thức đã mã hóa cứng giá trị của hai stablecoin nên sự sụt giảm giá trị của tài sản không hiển thị trên Scream. Whales đã tận dụng lỗ hổng này để rút cạn giao thức của bất kỳ loại stablecoin có giá trị nào khác trong khi gửi fUSD và DEI đã được chốt.

Tổng cộng 38 triệu USD trong stablecoin FRAX, USDT, USDC và MIM đã được chuyển khỏi mạng lưới. Sau sự cố, Scream đã bán phá giá và chuyển sang sử dụng Chainlink để có dữ liệu định giá theo thời gian thực. 

Số tiền khổng lồ bị đánh cắp đã về đâu?

Phải nói rằng, phần lớn số tiền này bị mất vĩnh viễn.

PeckShield cho biết khoảng 50%, tương đương 1,16 tỷ USD, số tiền bị đánh cắp từ các giao thức trên đã được rửa qua Tornado Cash, công cụ trộn tiền mã hoá dựa trên Ethereum bị chính phủ Hoa Kỳ trừng phạt vào tháng 8, gây ra phản ứng mạnh mẽ từ cộng đồng tiền mã hoá.

Tornado Cash cho phép người dùng tiền mã hoá làm mờ lịch sử các giao dịch tài chính của họ, khiến việc theo dõi trở nên khó khăn hơn. Theo cơ quan an ninh Hoa Kỳ FBI, tin tặc có liên kết với nhóm hacker Triều Tiên Lazarus để rửa hơn 7 tỷ USD tiền mã hoá kể từ năm 2019. 

Trong khi tin tặc biến mất với đống tiền lớn, các giao thức DeFi bị ảnh hưởng đã thực hiện một loạt nỗ lực để lấy lại tiền của họ, nhưng không thành công. Một cách để có thể lấy lại được tiền là đàm phán cùng tin tặc, cầu xin kẻ tấn công trả lại “chiến lợi phẩm xấu số” để đổi lấy một số lợi ích khác.

Qubit Finance đã thử điều đó và đưa ra khoản tiền thưởng 2 triệu USD, mức tiền thưởng tối đa mà công ty có thể đưa ra để cầu xin hacker mũ trắng. Nhưng nó không hiệu quả. Harmony cũng có ý tưởng tương tự. Nó đưa ra một khoản tiền thưởng 1 triệu USD để mong được trả lại 100 triệu USD bị đánh cắp từ cầu Horizon và hứa sẽ không đưa ra cáo buộc hình sự. Tuy nhiên tin tặc đã bỏ qua lời đề nghị và không có khoản tiền nào được thu hồi.

Tuy nhiên, chiến lược tương tự như trên của Poly Network vào tháng 8 năm 2021 đã có hiệu quả, kẻ tấn công sau đó đã trả lại phần lớn trong số tiền 600 triệu USD mà chúng đã đánh cắp.

Ronin cũng đã có được may mắn này. Đầu tháng 9, mạng đã thu hồi được 30 triệu USD số tiền bị đánh cắp, với sự trợ giúp từ công ty bảo mật tiền mã hoá Chainalysis, Bộ Tài chính Hoa Kỳ và FBI. Nhưng đó chỉ là 5% trong số 620 triệu USD bị đánh cắp trong vụ hack. FBI ước tính rằng khoảng 455 triệu USD đã được rửa qua Tornado Cash bởi Lazarus Group, kẻ tấn công bị cáo buộc.

Các tin tặc của cầu nối Nomad cũng đã gửi lại 9 triệu USD cho nền tảng này một ngày sau khi cầu nối xuyên chuỗi bị khai thác khoảng 190,4 triệu USD. Với mức thưởng 10% trên bất kỳ khoản tiền nào được thu hồi, tin tặc mũ trắng đã lấy lại được 32 triệu USD khác trong tổng số tiền đã cướp được và trả lại cho cầu nối xuyên chuỗi. Phần lớn còn lại trong số đó, đã bị hacker xáo trộn giữa các địa chỉ khác nhau, để cố gắng giữ an toàn cho tài sản mình đã đánh cắp.

Wormhole không bao giờ thu hồi được 320 triệu USD. Nó đã phải được giải cứu. Jump Trading Group, có cổ phần trong giao thức, đã tham gia để thay thế 120.000 ETH bị đánh cắp, sau khi lỗ hổng bảo mật đã được vá.

Làm thế nào để tránh bị hack?

Rõ ràng, các cầu nối blockchain dường như là liên kết yếu nhất trong DeFi. Tuy vậy, vẫn có nhiều cách để các cá nhân và giao thức luôn an toàn.

Alex Belets, người sáng lập công ty bảo mật blockchain Smart State, nói rằng: “Cần phải soạn thảo các điều khoản tham chiếu rõ ràng khi phát triển các dự án, bao gồm các chức năng của dự án cần được thử nghiệm càng nhiều càng tốt.”

“Sử dụng máy quét lỗ hổng bảo mật tự động, cố gắng kiểm tra và giữ an toàn cho các khóa riêng tư của bạn. Không sử dụng các ứng dụng của bên thứ ba để tạo khóa cá nhân (lý do hack của Wintermute).” – ông nói thêm.