Top 7 vụ hack tiền mã hóa trên 100 triệu USD gây chấn động DeFi

Ronin Network – 625 triệu đô la Mỹ

Ronin Network là một Sidechain trên Ethereum được phát triển dành riêng cho tựa game blockchain đình đám “Axie Infinity”. Nó cung cấp thông lượng giao dịch nhanh, tiết kiệm chi phí và phá bỏ rào cản gia nhập của trò chơi Play-to-earn đình đám này.

Vào ngày 29/03/2022 vừa qua, Ronin Network đã thông báo đến cộng đồng rằng cầu nối của họ bị khai thác 173.600 ETH và 25,5 triệu USDC, tương đương khoảng 625 triệu USD. Đáng chú ý là vụ hack này xảy ra vào ngày 23/03/2022, nhưng gần một tuần sau đó mới được phát hiện, khi nhận được khiếu nại từ một người dùng về việc không thể rút 5.000 ETH trên cầu nối của Ronin. 

Nguyên nhân dẫn đến sự việc đáng tiếc này là do một thỏa thuận được thực hiện giữa Sky Mavis và Axie DAO diễn ra vào tháng 11/2021. Khi đó, Axie DAO đã cho phép Sky Mavis đại diện ký các giao dịch khác nhau. Mặc dù, thỏa thuận này đã bị tạm dừng từ cuối tháng 12/2021, nhưng quyền truy cập danh sách cho phép không bị thu hồi. 

Và hacker đã lợi dụng lỗ hổng đó để truy cập vào hệ thống của Sky Mavis lấy được chữ ký của trình xác thực được vận hành bởi Axie DAO. Đồng thời, thay mặt công ty Sky Mavis ký các giao dịch được thực hiện trên mạng lưới. 

Để hiểu rõ về vụ hack lớn nhất lịch sử DeFi, nhà đầu tư có thể tham khảo bài viết “giải mã vụ hack lớn nhất lịch sử DeFi của Ronin Network”.

Ngay sau khi vụ hack này được xác nhận đã khiến token gốc của Ronin Network (RON) giảm hơn 32% xuống còn 1,6 USDT. Không những thế, các token quản trị của Axie Infinity – AXS và token tiền tệ – SLP cũng bị ảnh hưởng đáng kể với mức giảm lần lượt là 10% và 14%. 

Poly Network – 611 triệu đô la Mỹ

Poly Network là dự án DeFi tạo điều kiện cho các giao dịch ngang hàng được diễn ra suôn sẻ. Dự án cho phép người dùng chuyển, hoán đổi token trên các blockchain khác nhau, bao gồm Bitcoin, Ethereum và Ontology.

Kể từ khi ra mắt mạng chính cho đến khi bị tấn công, Poly Network đã ghi nhận chuyển 10 tỷ đô la Mỹ tài sản kỹ thuật số giữa các blockchain, với tổng giá trị bị khóa (TVL) là gần 1 tỷ đô la Mỹ trên toàn mạng lưới.

Vụ hack của Poly Network xảy ra vào ngày 10/08/2021 với tổng thiệt hại lên đến 611 triệu đô la Mỹ. Được biết các hacker này đã lợi dụng lỗ hổng trong “contract call” của Poly Network và chuyển khoảng 611 triệu đô la Mỹ đến ba địa chỉ được kiểm soát bởi hacker trên Ethereum, Binance Smart Chain và Polygon. 

Tuy nhiên, 3 ngày sau đó, hacker đã trả lại khoản tiền trị giá 340 triệu đô la Mỹ và phần còn lại được chuyển sang một địa chỉ ví đa chữ ký do hacker và Poly Network đồng kiểm soát.

Sau khi nhận lại số tiền đã bị khai thác, Poly Network bắt đầu liên hệ với các hacker mũ trắng và đề nghị họ đảm nhận vị trí cố vấn bảo mật chính của Poly Network và thưởng nóng 500.000 đô la Mỹ.

Để biết thêm chi tiết về vụ hack này, nhà đầu tư có thể tham khảo thêm bài viết “Poly Network bị hacker đánh cắp hơn 611 triệu USD” và “lý do hacker trả lại hơn 600 triệu USD”.

Wormhole – 326 triệu đô la Mỹ

Wormhole là một giao thức cầu nối được xây dựng trên blockchain Solana. Nó cung cấp cho người dùng của Solana khả năng tương tác qua lại giữa các blockchain khác nhau. Đồng thời, giao thức cầu nối này còn đảm nhận nhiệm vụ quan trọng là giúp hệ sinh thái Solana thu hút được dòng tiền từ các hệ sinh thái khác, đặc biệt là Ethereum.

Vụ hack của Wormhole xảy ra vào ngày 02/02/2022, tổng thiệt hại được ước tính lên đến 326 triệu đô la Mỹ. Nguyên nhân của vụ hack này là do giao thức cầu nối Wormhole đã bị thao túng để ghi nhận số tiền 120.000 ETH trên chuỗi khi tài sản được gửi vào Ethereum. 

Nói một cách đơn giản thì hacker đã lợi dụng lỗ hổng trong hệ thống của Wormhole và tạo ra số tiền 120.000 WETH (tương đương với 120.000 ETH) mà không khóa ETH trong Wormhole. 

Ngay sau vụ hack được phát hiện, đội ngũ phát triển của Wormhole đã tuyên bố với cộng đồng rằng sẽ bổ sung nguồn cung ETH để đảm bảo lượng WETH hiện có trên mạng lưới được hỗ trợ 1:1.

Để biết thêm về quá trình hacker lấy đi 326 triệu đô la Mỹ của giao thức cầu nối Wormhole, nhà đầu tư có thể tham khảo thêm bài viết “vụ hack tiền mã hóa trên cầu nối Wormhole của Solana”.

Compound – 150 triệu đô la Mỹ

Compound là một giao thức Lending & Borrowing được xây dựng trên blockchain Ethereum. Nó cho phép người dùng thế chấp nhiều loại tài sản tiền mã hóa để vay các loại tài sản khác. Những người cho vay sẽ có thể nhận về tỷ suất lợi nhuận dựa trên nhu cầu của thị trường đối với tài sản vay. Một cách dễ hiểu hơn, khi nhu cầu của một loại tài sản tiền mã hóa nào đó càng cao, thì lợi nhuận mà người cho vay tài sản đó nhận về càng lớn.

Vào tháng 10 năm 2021, Compound đã xuất hiện một lỗ hổng cho phép những người đi vay yêu cầu nhiều hơn số tiền vay dự kiến ​​của họ. Được biết lỗ hổng này liên quan đến hai trong số các pool vay của Compound, hoặc các pool trên hợp đồng thông minh. Cụ thể, hacker đã sử dụng hàm “drip ()” đối với hợp đồng quỹ dự trữ (Reservoir) của Compound. Từ đó, chuyển một lượng lớn token COMP vào hợp đồng Comptroller. 

Kết quả là pool của Compound đã tự động phân phối một lượng lớn COMP, tương đương với hơn 80 triệu đô la Mỹ, đến các địa chỉ ví của hacker đã được thiết lập sẵn. Ngay sau đó, đội ngũ phát triển Compound đã gấp rút nghiên cứu và đề xuất biện pháp sửa lỗ hổng đó. 

Nhưng trước khi giải pháp được thực thi, thì đề xuất đó phải được hội đồng quản trị thông qua bằng cách bỏ phiếu. Chính vì thế mà lỗ hổng này rất lâu sau đó mới được sửa chữa, trong khoảng thời gian đó các pool của Compound đã mất thêm 68,8 triệu đô la Mỹ.

Vulcan Forged – 140 triệu đô la Mỹ

Vulcan Forged là một nền tảng hỗ trợ các tựa game NFT. Nó còn là một NFT Marketplace và là một vườn ươm hỗ trợ các Dapp phát triển. Vulcan Forged đã hỗ trợ hơn 10 tựa game nổi tiếng, số lượng thành viên trong cộng đồng đạt hơn 20.000 người và thuộc top 5 NFT Marketplace có khối lượng giao dịch cao nhất.

Vụ hack của Vulcan Forged xảy ra vào ngày 13/12/2021, tổng thiệt hại hơn 140 triệu đô la Mỹ. Được biết, hacker đã lấy được thông tin đăng nhập và khóa riêng tư (private key) của 96 ví tiền mã hóa trên nền tảng Venly. 

Sau đó, hacker đã sử dụng nó để lấy các khóa riêng tư trong tính năng danh mục tài sản của nền tảng MyForge và chiếm đoạt 4,5 triệu PYR (token gốc của Vulcan Forged), tương đương với 140 triệu đô la Mỹ tại thời điểm vụ hack xảy ra.

Khi vụ việc được xác nhận, đội ngũ của Vulcan Forged đã liên hệ với các sàn giao dịch để chặn những địa chỉ liên quan đến vụ hack và tiến hành truy vết danh tính của hacker đó. 

Cream Finance – 130 triệu đô la Mỹ

Cream Finance không chỉ là một giao thức Lending & Borrowing, mà còn là sàn giao dịch phi tập trung cho phép người dùng cho vay, vay, hoán đổi, thanh toán và token hóa cho tài sản kỹ thuật số.

Các vụ hack liên quan đến vay nhanh (flash loan) đã không còn xa lạ với nhà đầu tư. Flash loan là một hình thức cho vay nhanh không yêu cầu nhà đầu tư phải thế chấp tài sản, nhưng họ phải trả lại số tiền đã vay trong cùng một giao dịch.  

Trong năm 2021, Cream Finance đã bị tấn công flash loan đến 3 lần và số tiền thiệt hại lớn nhất là vụ hack xảy ra vào tháng 10/2021. Khi đó, các hacker đã khai thác lỗ hổng định giá bằng cách liên tục tiến hành vay nhanh trên các địa chỉ Ethereum khác nhau. Kết quả là hacker đã lấy đi khoảng 130 triệu đô la Mỹ từ các pool cho vay trên Cream Finance.

Cream Finance đã đưa ra kế hoạch bồi thường cho nhà đầu tư sau 20 ngày kể từ thời điểm vụ hack xảy ra. Theo đó, giao thức sẽ phân phối 1.453.415 CREAM cho những nhà đầu tư bị ảnh hưởng từ vụ hack đó. 

BadgerDAO – 120 triệu đô la Mỹ

BadgerDAO là một tổ chức tự trị phi tập trung (DAO) được tạo ra nhằm mục đích xây dựng cơ sở hạ tầng hỗ trợ cho việc đưa Bitcoin đến với không gian DeFi. BadgerDAO sẽ hỗ trợ người dùng kết nối Bitcoin của họ với các blockchain trong không gian DeFi để tìm kiếm cơ hội tạo lợi nhuận.

Vào tháng 12/2021, các thành viên của BadgerDAO đã bị hacker lừa đảo chấp thuận các giao dịch độc hại. Cụ thể, hacker đã lợi dụng lòng tham của người dùng để chèn một tập lệnh hiển thị ưu đãi tăng lợi nhuận nếu như người dùng tạo một giao dịch trên ứng dụng BadgerDAO. Điều này đã cho phép hacker kiểm soát quỹ vault của người dùng và rút tiền không giới hạn. PeckShield – công ty kiểm toán hợp đồng thông minh, đã ước tính tổng thiệt hại trong vụ hack của BadgerDAO lên tới khoảng 120 triệu đô Mỹ.

Sau khi xác nhận vụ việc trên, BadgerDAO tuyên bố sẽ tăng cường bảo mật trên hệ thống lưu trữ thông tin Cloudflare của dự án và rà soát lại toàn bộ smart contract để đảm bảo không có lỗ hổng khác. Đồng thời, dự án cũng đề ra kế hoạch bồi thường cho những nhà đầu tư bị ảnh hưởng trong vụ hack này.

Tổng kết

Trên đây là những thông tin liên quan đến 7 vụ hack lớn nhất không trong gian DeFi. Theo báo cáo của Elliptic, chỉ riêng năm 2021, tổng thiệt hại của các vụ hack tiền mã hóa trong không gian DeFi được ước tính là khoảng 10,5 tỷ đô la Mỹ. Chúng ta có thể thấy được DeFi là một không gian chứa đựng rất nhiều cơ hội tạo lợi nhuận, nhưng điều đó cũng đồng nghĩa với việc có rất nhiều rủi ro đang tiềm ẩn trong thị trường này. 

Trong tương lai, những vụ hack tiền mã hóa vẫn còn sẽ tiếp tục xảy ra. Chính vì thế, nhà đầu tư cần có những biện pháp phòng ngừa rủi ro cho bản thân. Để biết thêm về những biện pháp giúp bảo vệ tài sản được lưu trữ trong ví, nhà đầu tư có thể tham khảo bài viết “làm thế nào để bảo mật ví lưu trữ tiền mã hóa và NFT”.