Giao thức Impossible Finance trên Binance Smart Chain bị tấn công Flash loan

500.000 USD bị lấy đi khỏi giao thức Impossible Finance

Giao thức tài chính phi tập trung (DeFi) Impossible Finance đã mất tới 500.000 USD trong một cuộc tấn công Flash loan diễn ra vào ngày 21/6 vừa qua. Cuộc tấn công vào nhóm thanh khoản (liquidity pool) của Impossible Finance xảy ra vào khoảng 4:40 sáng UTC vào ngày 21/6 và dẫn đến thiệt hại 229,84 ETH (khoảng 0,5 triệu USD vào thời điểm đó).

Mudit Gupta, một nhà phát triển của SushiSwap, cho biết đây là cùng một loại lỗ hổng đã được khai thác trong một cuộc tấn công trị giá 7,2 triệu USD gần đây vào BurgerSwap, một giao thức khác được xây dựng trên Binance Smart Chain (BSC). Tương tự như sự cố đó vào tháng 5, tin tặc đã thực hiện một cuộc tấn công Flash loan nhằm rút cạn nguồn thanh khoản của Impossible Finance bằng cách đưa ra các token giả mạo.

Một cuộc tấn công Flash loan là một cuộc khai thác trong đó một tin tặc lấy một khoản vay không tập trung từ một giao thức cho vay và thao túng thị trường để có lợi cho họ thông qua một loạt các thủ thuật kỹ thuật.

Công ty bảo mật WatchPlug nói rằng tin tặc đã sử dụng lỗ hổng trong hợp đồng thông minh của pool thanh khoản để thực hiện nhiều lần hoán đổi IF (token của Impossible Finance) sang BUSD và sau đó sang BNB để hoàn trả khoản vay nhanh. Tuy nhiên, điều bất thường là các giao dịch hoán đổi được thực hiện “liên tiếp với cùng một mức giá”, điều này thường là không thể do trượt giá.

PancakeBunny cũng là một nạn nhân khác của hình thức tấn công này với việc mất đi 45 triệu USD tiền của khách hàng. Không dừng lại ở đó BeltFinance cũng bị tấn công và bị lấy đi 6,2 triệu USD.

Nhóm nghiên cứu đằng sau giao thức Impossible Finance đã xác nhận tin tức trên Telegram và đảm bảo rằng họ sẽ bồi thường tất cả các khoản tiền được gửi vào các nhóm thanh khoản trước khi cuộc tấn công xảy ra.

Hiện tại, tất cả phần thưởng của nhóm thanh khoản đều bị tạm dừng. Ngoài ra, người dùng được khuyến nghị không thêm hoặc rút tiền cho các cặp IF/BUSD và IF/BNB. Nhóm nghiên cứu cho biết họ đang làm việc với PeckShield, WatchPlug và những thành viên whitehat (hacker mũ trắng) khác để điều tra tình hình và sẽ có một báo cáo chi tiết về sự kiện này.

Cuộc tấn công vào Impossible Finance xảy ra chưa đầy ba tuần sau khi giao thức này đã huy động được 7 triệu USD trong một vòng hạt giống do True Ventures, CMS Holdings, Alameda Research và Hashed đồng dẫn dắt. Dự án ban đầu được xây dựng trên Binance Smart Chain nhưng được cho là có kế hoạch mở rộng chức năng của nó sang Ethereum và Polygon.

Nhận định

Trên thực tế, Binance Smart Chain không phải là mạng lưới duy nhất bị tấn công Flash loan. Trước đó, cũng đã có rất nhiều dự án là nạn nhân của việc này trên mạng lưới Ethereum. Theo ước tính, đã có hơn 100 triệu USD bị lấy đi khỏi các giao thức trên mạng Ethereum thời gian vừa qua.

Có thể nói, DeFi là một lĩnh vực khá mới, nó có thể đem lại cho nhà đầu tư nhưng khoản lợi nhuận không tưởng (APY lên tới hàng ngàn phần trăm). Đổi lại, chúng ta luôn thấy rủi ro hiện hữu xung quanh các giao thức này. Vậy nên, để bảo toàn vốn và hạn chế rủi ro có thể xảy đến, các nhà đầu tư nên:

Thứ nhất, tìm kiếm các dự án phù hợp: Khi có quá nhiều dự án xuất hiện thì việc lựa chọn một dự án phù hợp nên là điều được đặt lên hàng đầu. Lợi nhuận không phải lúc nào cũng là yếu tố quyết định tất cả. Hãy cân nhắc các yếu tố khác liên quan đến đội ngũ phát triển, tiềm năng thị trường hay cộng đồng của dự án đó.

Thứ hai, vấn đề bảo mật của dự án: Đối với các dự án Blockchain như hiện tại, việc thực hiện kiểm tra đánh giá định kỳ là điều gần như bắt buộc. Mặc dù điều này không đảm bảo có thể ngăn chặn được toàn bộ nhưng ít nhất nó sẽ hạn chế được tối đa những rủi ro có thể xảy đến với cả dự án và người dùng.