Giao thức Li Finance mất 600.000 USD trong lần khai thác DeFi gần đây

Tác giả: Hải Quyên
Ngày đăng: 21-03-2022 | 16:05:22

Người dùng giao thức Li Finance đã bị đánh cắp khoảng 600.000 USD. Tin tặc đã lợi dụng lỗ hổng trong hợp đồng thông minh (smart contract) của dự án để tấn công. Một số nạn nhân đã được hoàn trả lại tiền sau đó.

Công cụ tổng hợp thanh khoản Li Finance đã gặp phải tình trạng bị khai thác hợp đồng thông minh dẫn đến việc mất 600.000 USD của 29 người dùng. 

Sự việc này diễn ra vào lúc 2:51 sáng UTC ngày 20 tháng 3. Tin tặc đã trích xuất số lượng của 10 token khác nhau từ các ví. Trong số đó có các token sau: USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT), và DAI (DAI).

Đội ngũ điều hành đã phát hiện ra sự việc sau 12 tiếng. Ngay sau đó họ đã đóng tất cả các chức năng Swap trên nền tảng để ngăn chặn các tổn thất có thể xảy ra.

Đến 2:50 sáng UTC ngày 21 tháng 3, các kỹ thuật viên đã nỗ lực để tìm ra lỗ hổng này. Họ cho biết tin tặc đã trao đổi các token và đánh cắp khoảng 205 ETH (tương đương với 600.000 USD). Tại thời điểm hiện tại, các ETH bị đánh cắp vẫn chưa được lấy lại. LiFi cũng thông báo rằng những lỗi này đã được họ tìm ra sửa chữa.

Trong số 29 người dùng thì đã có 25 người được hoàn trả tiền. Đây là tiền từ quỹ những người bị tổn thất của DeFi. Số tiền bị mất của 25 người này là khoảng 80.000 USD tương đương với 13% tổng giá trị. Như vậy có nghĩa là 4 người còn lại bị mất tổng cộng là 517.000 USD. Hiện tại 4 người này đã được liên hệ để đưa ra phương án giải quyết đền bù cho họ. Họ sẽ được tôn vinh các khoản lỗ với tư các là nhà đầu tư thiên thần tại LiFi.

4 người dùng này sẽ nhận được token của LiFi theo các khoản tương tự như các nhà đầu tư thiên thần khác. Số tiền sẽ tương đương với khoản lỗ mà họ bị mất. Việc này sẽ giúp giảm thiểu thiệt hại cho quỹ của nền tảng.

Các tin tặc sẽ nhận được được một khoản tiền khoan hồng nếu hoàn trả lại số tiền mà chúng đã đánh cắp.

Giám đốc điều hành của Li Finance -  Philipp Zentner chia sẻ:

“Thực sự thì chỉ còn 1 tuần nữa là chúng tôi sẽ đến đợt kiểm toán. Có rất nhiều công ty đang tiến hành kiểm tra chúng tôi”

Một nhà nghiên cứu “Transmissions11” tại công ty đầu tư tiền điện tử Paradigm cho biết ngay cả khi kiểm tra kỹ lưỡng cũng không thể phát hiện được lỗ hổng này. Ông ấy giải thích rằng lỗi trong mã này rất dễ bị bỏ sót và rất khó nếu không thể tư duy đúng.

Vụ tấn công này cho thấy việc đưa ra phê duyệt vô thời hạn đối với hợp đồng thông minh (smart contract) sẽ khiến người dùng gặp phải những rủi ro lớn như thế nào. Phê duyệt vô thời hạn cho phép người dùng Swap Coin tại một số sàn giao dịch phi tập trung (DEX) không giới hạn số lần và không cần thêm sự phê duyệt nào khác. 
  

Đánh giá bài viết này

4/5 - (31 Bình chọn)

Tin khác:

- C98 là gì? Tổng quan về Coin98 và C98 token

- Funfair coin là gì? Toàn tập về đồng tiền điện tử FUN

Danh sách bài viết được xem nhiều