Một sự cố nghiêm trọng trên Venus Protocol đã dẫn đến việc mất gần 30 triệu USD tài sản.
Mặc dù ban đầu nhiều người nghi ngờ đây là một vụ hack, nhưng các nhà phân tích bảo mật blockchain tại Cyvers đã xác nhận với BeInCrypto rằng đây là lỗi từ phía người dùng, không phải lỗ hổng trong chính giao thức.
Lừa đảo phishing khiến người dùng Venus Protocol mất 30 triệu USD, không phải lỗi của giao thức
SponsoredPeckShield là đơn vị đầu tiên phát hiện hoạt động đáng ngờ, lưu ý rằng một người dùng Venus Protocol đã bị mất khoảng 27 triệu USD sau khi trở thành nạn nhân của một vụ lừa đảo phishing.
Kẻ tấn công đã truy cập bằng cách lừa nạn nhân phê duyệt một giao dịch độc hại, cho phép chuyển tài sản không giới hạn từ ví.
Các token bị đánh cắp bao gồm khoảng 19.8 triệu USD vUSDT, 7.15 triệu USD vUSDC, 146,000 USD vXRP, 22,000 USD vETH, và thậm chí 285 BTCB, được mô tả là “tài sản thế hệ”.
Nhà phân tích DeFi Ignas cũng đã lên tiếng, lưu ý rằng Venus hoạt động “đúng như dự định” và sự cố này xuất phát từ việc kẻ tấn công khai thác các ủy quyền đã được phê duyệt trước từ ví bị xâm nhập.
“Một lần phê duyệt sai và bùm—bạn đã xong. Đó là mặt tối của DeFi: các phê duyệt mở rất mạnh mẽ, nhưng cũng rất nguy hiểm nếu bạn không cẩn thận,” viết nhà phân tích Crypto Jargon.
Cộng đồng đã đồng tình với ý kiến này khi các cảnh báo về thực hành tốt nhất được nhắc lại: thường xuyên thu hồi các phê duyệt, tránh các liên kết không được xác minh, và sử dụng ví cứng thay vì chỉ dựa vào ví nóng.
Sponsored SponsoredCyvers đã xác nhận điều này trong một tuyên bố với BeInCrypto:
“Đúng, lỗi từ phía người dùng chứ không phải ở cấp độ giao thức,” Cyvers đã nêu rõ.
Các quỹ bị đánh cắp vẫn chưa được hoán đổi, và đang được giữ trong địa chỉ hợp đồng của kẻ tấn công.
“Sự cố này cho thấy ngay cả những người dùng DeFi có kinh nghiệm cũng dễ bị tổn thương trước các kế hoạch phishing tinh vi. Bằng cách lừa nạn nhân cấp quyền phê duyệt token, kẻ tấn công đã có thể rút 27 triệu USD từ Venus Protocol chỉ trong một giao dịch” ông Hakan Unal, Trưởng nhóm Vận hành An ninh tại Cyvers cho biết.
Lỗ hổng Bunni DEX làm mất 8.4 triệu USD
Trong một sự cố khác, Bunni, một sàn giao dịch phi tập trung (DEX) xây dựng trên Uniswap v4, đã bị khai thác và mất hơn 8.4 triệu USD trên Ethereum và UniChain.
SponsoredKhông giống như trường hợp của Venus, đây là một lỗ hổng thực sự ở cấp độ giao thức.
Bunni đã thông báo rằng họ đã tạm dừng tất cả các chức năng hợp đồng thông minh trên các mạng khi đội ngũ của họ điều tra:
“Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật. Như một biện pháp phòng ngừa, chúng tôi đã tạm dừng tất cả các chức năng hợp đồng thông minh trên tất cả các mạng,” mạng lưới đã xác nhận.
Theo GoPlus Security, lỗ hổng này xuất phát từ những điểm yếu trong Chức năng Phân phối Thanh khoản (LDF) tùy chỉnh của Bunni.
Victor Tran, một nhà phát triển blockchain, đã giải thích cách kẻ tấn công thao túng đường cong với các giao dịch có kích thước cẩn thận.
Bằng cách liên tục kích hoạt các tính toán sai trong quá trình cân bằng lại thanh khoản, kẻ khai thác đã có thể rút nhiều token hơn mức họ nên có, rút cạn các pool trước khi hoàn tất cuộc tấn công với hai bước hoán đổi.
Tran nhấn mạnh rằng mặc dù hook của Bunni đã bị xâm phạm, Uniswap v4 vẫn không bị ảnh hưởng.
Hai sự cố này nhấn mạnh sự cân bằng mong manh giữa đổi mới và an ninh trong tài chính phi tập trung (DeFi).
Thiệt hại của Venus Protocol nhấn mạnh yếu tố con người, nơi một cú nhấp chuột có thể xóa sạch tài sản. Trong khi đó, lỗ hổng của Bunni cho thấy cách các sai sót trong cơ chế mới có thể làm lộ thanh khoản.
Trong một thị trường mà hàng tỷ USD đang bị đe dọa, một sai lầm, dù là của con người hay kỹ thuật, đều có thể gây ra hậu quả nghiêm trọng.
Do đó, khi lĩnh vực DeFi mở rộng, việc giáo dục người dùng và sự nghiêm ngặt của giao thức sẽ vẫn là điều quan trọng.
