Hacker kiếm hơn 370.000 USD sau khi tấn công Flash Loan trên Avalanche

Nereus Finance, một nền tảng staking DeFi trên Avalanche, đã bị kẻ gian chiếm đoạt khoản vay ngắn hạn lên tới 51 triệu USD trong ngày 6/9 vừa qua. Không những thế, lượng lớn USDC stablecoin trị giá 370.000 USD cũng biến mất ngay sau đó.

Lỗ hổng Flash Loan trên Avalanche

Theo dữ liệu on-chain từ Snowtrace, lợi dụng lỗ hổng của dịch vụ khoản vay ngắn hạn (Flash Loan) trị giá 51 triệu USD, hacker đã xâm nhập và rút ruột nhanh chóng một khoản tài sản kỹ thuật số. Tiếp sau đó, kẻ gian dùng số tiền này và làm cuộc cho vay nhanh nhằm thao túng giá token trên Nereus. Điều thú vị là kẻ tấn công đã trả lại khoản vay 51 triệu USD nhưng chúng vẫn giữ lại số USDC trị giá 370.000 USD sau khi vụ tấn công thổi giá kết thúc.

Xem thêm: Flash Loan là gì? Các cuộc tấn công Flash Loans hoạt động như thế nào?

Để lấy tiền ra, tên hacker sau đó đã “bắc cầu” tiền từ blockchain Avalanche sang mạng Ethereum. Cross Chain hay Cross Chain Bridge, Cross Chain Technology là cầu nối xuyên chuỗi hay công nghệ chuỗi chéo, giúp luân chuyển tài sản tiền điện tử giữa các blockchain khác nhau mà không cần đổi thành tiền fiat.

Lần theo dấu vết này, các khoản tiền đã bị swap tổng cộng là 194 ETH (~310.000 USD) và 15,800 DAI (~15,800 USD) và được giữ trong địa chỉ bên dưới, và nó khớp với địa chỉ của kẻ tấn công trên Avalanche.

Đến thời điểm thực hiện bài viết, chỉ còn khoảng 14 ETH và 15.800 DAI còn trong địa chỉ này. Hacker đã lần lượt chuyển 180 ETH đến bốn địa chỉ khác nhau (chia 45 ETH cho mỗi địa chỉ). Tất cả các khoản tiền này đã chuyển đến một sàn giao dịch tiền điện tử trên Lightning Network, có tên Free Float. Lý do là Lightning Network có thêm tính năng giúp cho người dùng biết được khoảng chênh lệch giá nhằm kịp thời rút chân, thu lợi nhuận.

Nereus Finance chưa phản hồi…

Tấn công qua lỗ hổng của những khoản vay ngắn hạn lại tiếp tục dấy lên nhiều lo ngại cho  thế giới giao thức DeFi. 

Vào tháng 8 vừa qua, Cục Điều tra Liên bang Hoa Kỳ đã tuyên bố rằng những khoản vay ngắn hạn và hành vi bán tháo, có thời gian là một trong những yếu tố khiến người dùng DeFi có thể “mắc bẫy và mất tiền trắng trợn”.

Sự phát triển nhanh chóng và mạnh mẽ của tiền điện tử khoảng 1 thập kỷ trở lại đây đã khiến nó trở thành kênh đầu tư của không ít người. Thế nhưng, ở thời điểm Bitcoin và các loại tiền ảo khác liên tục tăng giá, chúng trở thành mục tiêu của tội phạm mạng.

Thống kê từ công ty dữ liệu Chainalysis, trong tổng số 11 tỷ USD tiền điện tử “bẩn” mà tội phạm mạng cướp đoạt vào năm 2021, có 93% là từ việc trộm cắp. Con số này gấp gần 4 lần thiệt hại năm 2020 (3 tỷ USD). 

Ronghui Hu, giáo sư khoa học máy tính của Đại học Columbia thành phố New York (Mỹ) và là đồng sáng lập của công ty an ninh mạng CertiK, cho biết đây là cuộc chiến mà công ty an ninh mạng hoặc dự án không thể chiến thắng.

“Chúng tôi phải bảo vệ rất nhiều dự án. Khi xem một dự án không có lỗi, hacker có thể đơn giản chuyển sang dự án tiếp theo, cho đến khi họ tìm thấy một điểm yếu”, ông Ronghui Hu chia sẻ.

Gần đây nhất, vụ hack Nomad đã là vụ trộm tiền mã hóa lớn thứ 8 từ trước đến nay được ghi nhận. Trong năm 2022 đến hiện tại, vụ trộm khác từ các cầu nối blockchain như chiếm 622 triệu USD tại Ronin (của tựa game Axie Infinity đình đám) và Wormhole mất 320 triệu USD ở (được sử dụng trong các ứng dụng tài chính phi tập trung).

Steve Bassi, người đồng sáng lập kiêm Giám đốc điều hành PolySwarm – đơn vị chuyên phát hiện phần mềm độc hại, nhấn mạnh: “Các cầu nối blockchain đang là mảnh đất màu mỡ nhất cho các lỗ hổng mới”.