Hacker lợi dụng các khoản vay để tấn công nhiều giao thức DeFi

Các sàn DeFi liên tục bị hack 

Vụ tấn công đầu tiên xảy ra vào ngày 15/3. Deus Finance, một nền tảng phái sinh tiền điện tử trên giao thức Fantom, báo cáo đã mất lượng Ether và DAI đáng giá hàng triệu USD. Hacker đã lợi dụng các khoản vay flash loan để lấy tiền từ quỹ của họ. Trong khi Deus không tiết lộ số tiền chính xác đã bị đánh cắp, công ty bảo mật PeckShield ước tính thiệt hại vào khoảng 3 triệu USD.

Cùng ngày 15/3, một hacker đã kiếm được khoảng 11 triệu đô la bằng Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis và Wrapped XDAI. Hacker này đã tấn công vào các lỗ hổng bảo mật trong ứng dụng của giao thức cho vay DeFi Agave và Hundred Finance.

Tin tặc đã chuyển số tiền bị đánh cắp trị giá 200.000 DAI và 1.101,8 ETH thông qua sàn giao dịch phi tập trung Multichain. Theo dữ liệu của Etherscan, tất cả token bị đánh cắp sau đó đã được rửa sạch một cách bất hợp pháp thông qua giao thức bảo mật “Tornado Cash”.

Token của Agave, AGVE, đã giảm 20% sau cuộc tấn công, theo dữ liệu từ CoinGecko. Token HND của Hundred Finances đã giảm 3,5% sau khi công bố. Tuy nhiên mã này đã phục hồi sau đó để đạt mức cao nhất trong vòng 24 giờ.

Agave đã tweet vào ngày 15 Thứ Ba lúc 1:30 chiều UTC: ““Agave hiện đang điều tra một vụ khai thác trên giao thức tài chính agave. Chúng tôi sẽ cập nhật cho bạn ngay khi chúng tôi biết thêm.” Họ cũng lưu ý rằng các hợp đồng sẽ tạm dừng cho đến khi tình hình được giải quyết. Đội ngũ Hundred Finance cho biết cuộc tấn công được khai thác trên chuỗi Gnosis. Hiện họ đã tạm dừng thị trường của mình trong khi theo đuổi các cuộc điều tra.

Con dao hai lưỡi Flash loan 

Flash loan là 1 công cụ hữu dụng trên các sàn giao dịch phi tập trung, nhưng nó cũng chứa nhiều ủi ro tiềm ẩn. Một mặt, nó giúp người dùng dễ dàng tiếp cận đến một lượng thanh khoản dồi dào để tham gia các giao thức, miễn là khoản vay phải được hoàn trả trong cùng block giao dịch. Mặt khác, nó mở ra cơ hội để kẻ xấu lợi dụng để bòn rút tiền từ các dự án có lỗ hổng smart contract như các trường hợp nêu trên.

Người tạo ra ứng dụng giao thức thanh khoản NFT, Shegen (@shegenerates) nói rằng cô ấy đã mất 225.000 đô la trong vụ hack. Các cuộc điều tra tiết lộ cuộc tấn công diễn ra bằng cách khai thác một chức năng hợp đồng wETH trên Gnosis Chain. Lỗ hổng này cho phép kẻ tấn công tiếp tục vay tiền điện tử trước khi các ứng dụng có thể tính toán khoản nợ. Hackner này đã liên tục vay mượn cùng một tài sản thế chấp mà chúng đã đăng cho đến khi rút hết tiền khỏi các giao thức.