Xem thêm

Ola Finance trở thành nạn nhân tiếp theo trong một vụ hack DeFi: Tổn thất 4.6 triệu USD

3 mins
Cập nhật bởi Bùi Linh
Tham gia cộng đồng giao dịch của chúng tôi trên Telegram

Tóm lại

  • Hacker đã đánh cắp 3,6 triệu USD tài sản tiền điện tử từ Ola Finance.
  • Một lỗi hợp đồng thông minh đã kích hoạt các cuộc gọi lặp lại đến giao thức.
  • Ola Finance cho biết họ sẽ bồi thường cho các nạn nhân của vụ hack.
  • promo

Mới đây, một giao thức tài chính phi tập trung (DeFi) lại tiếp tục bị tấn công (exploit). Vậy là chỉ trong cùng một tuần, ngành công nghiệp tiền điện tử đã chứng kiến đến 2 vụ hack. Trong đó, vụ hack đầu tiên được báo là là lớn nhất từ ​​trước đến nay.

Cụ thể, theo thông tin mới nhất được công bố, giao thức cho vay phi tập trung Ola Finance đã bị hacker đánh cắp một lượng token với giá trị khoảng 4,6 triệu USD.

Rất tiếc rằng đây không phải là một trò đùa ngày Cá tháng Tư đối với người dùng nền tảng DeFi. Theo đó, Ola Finance đã công bố kết quả kiểm tra về vụ tấn công vào ngày 1 tháng 4. Cụ thể, nhóm phát triển thông báo rằng mạng cho vay Ola trên chuỗi khối Fuse đã bị tấn công (exploit) vào ngày 31 tháng Ba.

Tổng cộng 216,964 USDC, 507,216 BUSD, 200,000.00 fUSD, 550,45 WETH, 26,25 WBTC và 1.24 triệu token FUSE đã bị đánh cắp. Tổng giá trị số coin bị đánh cắp vào thời điểm đó là khoảng 4.67 triệu USD.

Trước đó, công ty bảo mật PeckShield đã đưa tin với số tiền tổn thất thấp hơn là 3.6 triệu USD.

Lỗi tấn công: Reentrancy Exploit

Theo nhóm phát triển của Ola Finance, cuộc tấn công đã khai thác một lỗ hổng gần đây trong tiêu chuẩn mã thông báo ERC677. Đây là một lỗi hợp đồng thông minh cho phép một tác nhân độc hại thực hiện các cuộc gọi lặp đi lặp lại đến giao thức để ăn cắp nội dung. PeckShield giải thích:

“Vụ tấn công có thể xảy ra do sự không tương thích giữa Compound fork và các mã thông báo dựa trên ERC677 / ERC777, có các chức năng gọi lại tích hợp được sử dụng sai để cho phép tái xuất hiện để rút cạn nhóm cho vay.”

Lúc đầu, kẻ tấn công đã vay tiền bằng cách sử dụng tài sản thế chấp của chính họ. Sau đó, họ lợi dụng lỗ hổng bảo mật trong các hợp đồng thông minh của Ola để xóa tài sản thế chấp mà không cần hoàn trả khoản vay.

Cuộc tấn công ban đầu liên quan đến khoản vay nhanh 515 ETH từ cặp WETH/WBTC trên Voltage Finance để dùng để “tài trợ” cho vụ trộm.

Quá trình này được lặp lại và cuối cùng hacker đã kiếm được 3.6 triệu USD. Số tiền điện tử này sau đó đã được rửa thông qua các giao dịch ẩn danh Tornado Cash.

Nhóm nghiên cứu tuyên bố rằng họ đang làm việc để đưa ra một kế hoạch bồi thường, nhưng không đi vào chi tiết.

“Trong những ngày tới, chúng tôi sẽ thông báo một kế hoạch bồi thường chính thức nêu chi tiết việc phân phối tiền cho những người dùng bị ảnh hưởng.”

Giao thức này cũng tuyên bố rằng họ sẽ liên hệ với kẻ tấn công và đưa ra một khoản tiền chuộc để yêu cầu hacker trả lại tiền.

Token Voltage Finance FUSE đã giảm 21% sau khi có thông tin về vụ hack. Tại thời điểm viết bài, giá đang giao dịch ở mức $0.448.

Một tuần khó khăn của DeFi

Trong cùng tuần này, một vụ hack khác cũng đã xảy ra đối với Ronin, một cầu cross-chain của Axie Infinity. Theo đó, hacker đã tấn công và lấy đi số tiền khổng lồ lên đến 615 triệu USD. Điều này không nghi ngờ gì đã khiến nó trở thành vụ tấn công tồi tệ nhất trong ngành.

Xem thêm: Ronin Network của Axie Infinity vừa bị hack 620 triệu USD

Sky Mavis, công ty đứng sau trò chơi Metaverse nổi tiếng, đã tuyên bố rằng họ “hoàn toàn cam kết” đền bù thiệt hại cho các nạn nhân của vụ tấn công.

Tháng trước, giao thức cho vay của DeFi Hundred Finance đã mất khoảng 6.5 triệu USD trong một cuộc tấn công tương tự.

Theo bạn, liệu Ola Finance có thể lấy lại số tiền đã mất? Chia sẻ ngay ý kiến trong nhóm Telegram của chúng tôi nhé.

Những nền tảng giao dịch Crypto tốt nhất tại Việt Nam | Tháng 3 năm 2024

Trusted

Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.

MartinYoung.jpg
Martin Young
Martin đã viết về lĩnh vực an ninh mạng và công nghệ thông tin với kinh nghiệm khoảng 20 năm. Anh ấy cũng có kinh nghiệm giao dịch như một nhà đầu tư thực thụ và đã tích cực hoạt động trong ngành công nghiệp blockchain và tiền điện tử kể từ năm 2017.
Chi tiết