Có rất nhiều dòng tiền chảy vào DeFi. Song nhờ có nhiều chiêu trò hack và lỗ hỏng bảo mật để khai thác có thể khiến dòng tiền bị rút cạn ra.
Tài chính phi tập trung (DeFi) đề cập đến các ứng dụng blockchain cắt đứt người trung gian từ các sản phẩm và dịch vụ tài chính như cho vay, tiết kiệm và hoán đổi. Ngoài ra, DeFi đi kèm với phần thưởng cao, nhưng cũng mang lại nhiều rủi ro.
Vì bất cứ ai cũng có thể spin-up một giao thức DeFi và viết một số hợp đồng thông minh, các lỗ hổng trong mã là phổ biến. Và trong DeFi, có rất nhiều tác nhân vô đạo đức đã sẵn sàng và có thể khai thác những lỗ hổng đó. Khi điều đó xảy ra, hàng triệu USD có nguy cơ rủi ro sẽ bị khai thác, và thường không có sự truy vết cho người dùng.
Người dùng DeFi đã mất 10,5 tỷ USD vì vấn nạn trộm cắp vào năm 2021, theo báo cáo tháng 11 của Elliptic. Nhưng đây là các danh sách DeFi đã bị khai thác lớn nhất của chúng tôi cho thấy, con số đó đã tăng lên hàng triệu. (Tất cả các số liệu dưới đây đều nằm trong giá trị của các quỹ tại thời điểm xảy ra vụ việc.)
13. Grim Finance: 30 triệu USD
Thông thường dApps lấy cảm hứng theo chủ đề từ các blockchain mà chúng được xây dựng. Kết quả là, hệ sinh thái Avalanche có đầy đủ các tài liệu tham khảo tuyết, như Snowtrace, Blizz và Defrost. Trong khi đó, hệ sinh thái Fantom cảm thấy giống như một bữa tiệc Halloween on-chain. Điều đó như tạo ra một vòng xoáy tối hơn khi mọi thứ mắc lỗi như trường hợp của Grim Finance, một giao thức tối ưu hóa năng suất.
Vào tháng 12/2021, giao thức đã bị tấn công trở lại, một loại khai thác trong đó kẻ tấn công giả mạo các khoản tiền gửi bổ sung vào kho tiền trong khi giao dịch trước đó vẫn chưa được giải quyết. Cuối cùng, cuộc tấn công đã lừa hợp đồng thông minh phát hành 30 triệu USD token Fantom.
Các giao thức DeFi thường sử dụng các bảo mật tái reentrancey nhờ vào các đoạn mã ngăn chặn các cuộc tấn công như vậy. Báo cáo kiểm toán của Grim Finance từ Solidity Finance đã tuyên bố không chính xác rằng giao thức có bảo mật reentrancy tại chỗ – một lời nhắc nhở cho sự kiểm toán không đảm bảo rằng việc khai thác sẽ không xảy ra.
12. Meerkat Finance: 31 triệu USD
Đôi khi không mất nhiều thời gian để một giao thức DeFi bị khai thác lập tức. Giao thức cho vay dựa trên Binance Smart Chain Meerkat Finance đã mất 31 triệu USD trong quỹ người dùng chỉ một ngày sau khi ra mắt vào tháng 3/2021.
Kẻ tấn công đã gọi một chức năng trong hợp đồng khiến địa chỉ của họ trở thành chủ sở hữu kho tiền, rút cạn của dự án 13,96 triệu USD trong stablecoin BUSD của Binance và thêm 73.000 BNB (token gốc của Binance). Vụ cướp BNB trị giá khoảng 17,4 triệu USD vào thời điểm đó.
Nhiều người dùng cho rằng đó là một công việc nội bộ rằng có một sự rug-pull bởi các nhà phát triển giao thức. Tuy nhiên, Meerkat phủ nhận các cáo buộc.
11. Vee Finance: 35 triệu USD
Mùa hè năm 2021 đã sự bùng nổ hoạt động trên Avalanche, điều này cũng thu hút những kẻ tham lam khai thác hệ sinh thái non trẻ của mạng blockchain.
Vào tháng 9/2021, chỉ một tuần sau khi nền tảng cho vay Vee Finance kỷ niệm cột mốc 300 triệu USD tổng giá trị tài sản bị khóa, nhưng nó đã phải những gì từ vụ khai thác lớn nhất trên mạng Avalanche mang lại.
Cuộc tấn công có thể xảy ra phần lớn là do tính năng giao dịch đòn bẩy của Vee Finance dựa vào giá token được cung cấp bởi giao thức thanh khoản chính của Avalanche, Pangolin. Để lạm dụng điều đó, kẻ tấn công đã tạo ra bảy cặp giao dịch trên Vee, cung cấp thanh khoản và cuối cùng đặt các giao dịch đòn bẩy trên Vee. Điều đó cho phép họ rút 35 triệu USD crypto ra khỏi giao thức.
Trong một tweet gửi đến “Dear Mr/Ms 0x***95BA”, giao thức yêu cầu kẻ tấn công trả lại tiền như một phần của chương trình tiền thưởng, cho phép kẻ tấn công giữ một phần. Nhưng hacker Vee không muốn trả lại tiền.
10. PancakeBunny: 45 triệu USD
Crypto thường trải qua những các mốt ngắn ngủi nhưng dữ dội. Và vào mùa xuân năm 2021, Binance Smart Chain (BSC) (nay là BNB Chain) là xu hướng DeFi “hot” nhất, đặc biệt là đối với người dùng bán lẻ, do phí mạng thấp.
Nhưng BSC cũng là nơi tổ chức rất nhiều vụ lừa đảo và hack, và vụ lớn nhất trong số đó là khai thác tháng 5/2021 nhắm vào giao thức khai thác năng suất PancakeBunny.
Một hacker đã thao túng thuật toán định giá của PancakeBunny thông qua một chuỗi trong tám cuộc tấn công cho vay tức thời, tăng giá token gốc của giao thức, $BUNNY. Hacker đã kiếm được 45 triệu USD bằng cách mua $BUNNY giá rẻ theo giá thị trường và bán nó ở mức cao ảo.
9. bZx: 55 triệu USD
Giao thức cho vay đa chuỗi bZx đã bị tấn công vào tháng 11/2021 sau khi một “khóa riêng” bị xâm phạm. Giao thức này đã mất tổng cộng 55 triệu USD được triển khai trên Binance Smart Chain và Polygon.
Nhưng bZx đã trải qua cơn đau tương tự hai lần trước đó.
Mặc dù các cuộc tấn công cho vay tức thời là một chiến thuật khai thác DeFi phổ biến ngày nay, bZx là một “OG” về vấn đề đó. Nó đã trở thành đối tượng của các cuộc tấn công cho vay tức thời vào tháng 2/2020, nhắm vào nền tảng giao dịch ký quỹ Fulcrum. Hacker đã thực hiện với 1.300 ETH wrapped, trị giá 366.000 USD vào thời điểm đó.
Trong một cuộc tấn công khác vào tháng 9/2020, bZx đã mất 30% số tiền bị khóa ở kho tiền của mình, trị giá 8 triệu USD. Tuy nhiên, người dùng có vị thế ký quỹ mở không bị thua lỗ bởi vì, như giao thức sau đó cho biết trong một báo cáo, những khoản tiền đó đã được ghi nợ vào quỹ bảo hiểm của bZx.
8. Badger DAO: 120 triệu USD
Sự thật rằng không phải lúc nào cũng là một lỗ hổng hợp đồng thông minh làm bốc hơi hàng triệu USD từ một dự án DeFi.
Vào tháng 12/2021, cầu nối Bitcoin-to-DeFi Badger DAO đã bị lỗ 120 triệu USD sau khi những kẻ lừa đảo lừa các thành viên Badger DAO phê duyệt các giao dịch độc hại, cho phép họ kiểm soát tiền kho tiền của người dùng và chuyển tiền.
Công ty bảo mật Blockchain PeckShield nói với Decrypt rằng các hợp đồng của giao thức an toàn khỏi việc khai thác và chỉ có giao diện người dùng bị ảnh hưởng.
7. Cream Finance: 130 triệu USD
Giao thức cho vay Cream Finance đã mất 130 triệu USD trong một cuộc tấn công cho vay tức thời vào tháng 10/2021 – đánh dấu cuộc tấn công thứ ba mà giao thức này phải chịu.
Các khoản vay tức thời cho phép bạn vay tiền ngay lập tức, miễn là bạn trả lại chúng trong cùng một giao dịch. Mặc dù hữu ích cho các cuộc chơi chênh lệch giá, chúng được triển khai rộng rãi bởi các tác nhân độc hại để khai thác các lỗ hổng trong các giao thức DeFi. Trong trường hợp của Cream Finance, hacker đã có thể khai thác lỗ hổng định giá bằng cách liên tục vay tiền tức thời trên các địa chỉ Ethereum khác nhau.
Cream đã nhìn thấy tất cả trước đây. Vào tháng 8/2021, một hacker đã đánh cắp khoảng 25 triệu USD trong một cuộc tấn công cho vay tức thời khác chủ yếu nhắm vào token gốc của Flexa Network, AMP. Và trong một cuộc tấn công cho vay tức thời vào tháng 2/2021, tin tặc đã rút 37,5 triệu USD ra khỏi nhóm giao thức.
6. Vulcan Forged: 140 triệu USD
Play-to-earn là một trong những xu hướng mới nhất trong crypto, nhưng nó không thoát khỏi các thủ thuật cơ bản và cách lừa – đặc biệt là những người khai thác các tính năng tập trung. Vulcan Forged, một nền tảng play-to-earn trên Polygon, đã học được bài học đắt giá một cách khó khăn vào tháng 12/2021 khi người dùng của họ mất 140 triệu USD.
Theo một báo cáo sau khi vụ việc nghiêm trọng xảy ra, một hacker đã có được thông tin đăng nhập của ví người dùng tập trung của nền tảng – Venly – để nắm giữ các khóa riêng tư của 96 ví crypto. Sau đó, hacker đã sử dụng nó để có được các khóa riêng tư trong tính năng danh mục tài sản của nền tảng MyForge và cuối cùng đã thực hiện với 4,5 triệu token PYR gốc Vulcan Forged.
Giám đốc điều hành Vulcan Forged Jamie Thomson cho biết: “Trong tương lai, tất nhiên, chúng tôi sẽ không sử dụng gì ngoài ví phi tập trung để chúng tôi không bao giờ phải gặp phải vấn đề này nữa”.
5. Compound: 150 triệu USD
Giống như hầu hết các giao thức DeFi, giao thức cho vay Compound có token quản trị, COMP. Giao thức phân phối token cho người dùng trong các điều kiện cụ thể.
Vào tháng 10/2021, Compound đã có một lỗi gọi là “khía cạnh ít người biết nhất trong DeFi”, điều đó cho phép người vay yêu cầu nhiều hơn phần COMP dự định của họ. Lỗi liên quan đến hai trong số các kho tiền của nó, hoặc các nhóm tiền trên hợp đồng thông minh. Người dùng sẽ gọi một hàm cụ thể – drip() – trên kho tiền của Reservoir và sẽ thay thế một kho tiền khác, Comptroller. Vault đó sẽ tự động phân phối một lượng lớn COMP đến các địa chỉ sai. Lỗ hỏng bị rò rỉ là kết quả của một lỗi được giới thiệu trong bản cập nhật giao thức trước đó.
Sau khi 80 triệu USD COMP được gửi đến nhầm người, nhóm nghiên cứu đã vội vã vá một bản sửa lỗi. Nhưng trước khi bất kỳ sửa chữa nào có thể được thực hiện, giao thức yêu cầu một đề xuất quản trị để thông qua. Nó được tạo ra vào ngày 2/10 và cuối cùng được chấp nhận vào ngày 9/10. Trong khi cộng đồng tranh luận, các kho tiền đã mất thêm 68,8 triệu USD.
Người sáng lập Compound, Robert Leshner, đã cố gắng lấy lại tiền như thế nào? “Bất cứ ai trả lại COMP cho cộng đồng là một giga-chad xa lạ và nếu một đội giga-chad triệu tập tôi, tôi sẽ xuất hiện.” Gần một nửa số tiền đã được trả lại.
4. Beanstalk: 182 triệu USD
Các khoản vay tức thời rất hữu ích nhưng cungx rất nguy hiểm. Chỉ hai ngày sau khi ăn mừng cột mốc 150 triệu USD tài sản đã bị khóa vào giao thức của nó, Beanstalk dựa trên Ethereum đã phát hiện ra rằng 182 triệu USD đã biến mất trong một cuộc tấn công cho vay tức thời. Hacker này đã tìm cách rửa 80 triệu USD Ethereum (ETH) thông qua Tornado Cash.
Beanstalk được biết đến với stablecoin thuật toán của nó, BEAN, được cho là trị giá 1 USD. Trong khi nó quản lý để giữ cột mốc của nó ngay sau cuộc tấn công, khai thác đã chứng minh rằng stablecoin thuật toán chỉ ổn định như các hợp đồng làm nền tảng cho chúng.
3. Wormhole: 326 triệu USD
Vì ngày càng có nhiều blockchain layer-1 với DeFi được xây dựng trên chúng, có một mong muốn đặc biệt cho người dùng chuyển tiền giữa các chuỗi. Dĩ nhiên cross-chain sẽ giải quyết nhu cầu đó, nhưng chúng cũng mang lại những lỗ hổng mới.
Sự cố cross-chain gây thiệt hại nhất xảy ra vào tháng 1/2022, khi Wormhole, một cầu nối phổ biến đã mất 320 triệu USD trong Wrapped Ethereum (wETH). WETH là một loại crypto được gắn với giá của Ethereum trên cơ sở 1: 1.
Hacker đã nhắm mục tiêu vào điểm yếu của cầu nối trên Solana, nơi người dùng trước tiên phải khóa Ethereum vào một hợp đồng thông minh để có được một số tiền tương đương trong Wrapped Ethereum. Hacker đã tìm ra cách giải quyết vấn đề này bằng cách đúc WETH mà không khóa ETH trong Wormhole.
Jump Trading Group, một bên liên quan trong sự phát triển của Wormhole, đã chủ động bổ sung kho bạc Ethereum của Wormhole và làm tròn trách nhiệm của họ.
2. Ronin: 552 triệu USD
Trò chơi Axie Infinity được hỗ trợ bởi NFT là một trong những câu chuyện thành công lớn nhất về crypto trong năm qua. Vào ngày 23/3/2022, gã khổng lồ GameFi đã trở thành nạn nhân của một trong những vụ hack lớn nhất trong crypto, với ước tính 552 triệu USD crypto đã rút cạn ra từ cầu nối đến sidechain Ronin của nó bằng cách sử dụng “khóa riêng bị hack”.
Vào thời điểm khai thác được tiết lộ bởi nhà phát triển Axie Infinity Sky Mavis một tuần sau đó, giá trị của số tiền bị đánh cắp đã tăng lên 622 triệu USD.
Theo một báo cáo từ Sky Mavis, kẻ tấn công đã sử dụng “một thủ thuật ngầm thông qua node RPC gas-free của chúng tôi, mà họ đã lạm dụng để có được chữ ký cho bộ xác thực Axie DAO.”
Giải thích rằng vào tháng 11/2021, Sky Mavis đã chuyển sang Axie DAO để phân phối các giao dịch miễn phí do tải lượng người dùng cao, báo cáo nói thêm rằng, “Axie DAO cho phép Sky Mavis ký các giao dịch khác nhau thay mặt cho nó. Điều này đã bị ngừng vào tháng 12/2021, nhưng quyền truy cập danh sách cho phép đã không bị thu hồi.”
Bằng cách sử dụng lỗ hỏng bảo mật để khai thác, kẻ tấn công sau đó đã có thể ký các giao dịch từ 5/9 số node hợp lệ trên mạng Ronin, bao gồm nút của AxieDAO và bốn node riêng của Sky Mavis. Điều này, cho phép kẻ tấn công giả mạo các giao dịch và yêu cầu bồi thường 173.600 WETH (Wrapped Ethereum) và 25,5 triệu USDC, tổng cộng khoảng 622 triệu USD.
Đó gọi là “một trong những vụ hack lớn nhất trong lịch sử”, đồng sáng lập Axie Infinity Jeff Zirlin lưu ý rằng “có khả năng [hacker] có thể được truy vết và đưa ra công lý”.
1. Poly Network: 611 triệu USD
Vụ hack Poly Network vẫn là vụ hack lớn nhất trong lịch sử crypto không chỉ là đối với DeFi. May mắn thay, câu chuyện bắt đầu vào ngày 10/8/2021 đã có kết thúc tốt đẹp ba ngày sau khi một loạt các bước ngoặt kỳ lạ xảy ra.
Vụ cướp bắt đầu khi một hacker khai thác lỗ hổng trong “cuộc gọi hợp đồng” của Poly Network – các đoạn mã cung cấp năng lượng cho giao thức. Hacker nhanh chóng kiếm được 611 triệu USD trong các loại crypto khác nhau, khiến Poly xuất bản một lá thư tuyệt vọng với lời chào “Dear Hacker”.
Nỗ lực truyền thông đó, và những nỗ lực tiếp cận tiếp cận tiếp theo, cuối cùng đã có hiệu quả. Giao thức này đã cung cấp một khoản tiền thưởng nửa triệu USD và cơ hội cho hacker trở thành cố vấn an ninh chính của nó.
Nhưng trong một phiên hỏi đáp on-chain, hacker giải thích rằng việc khai thác chỉ nhằm dạy cho Poly Network một bài học. Việc trả lại số tiền bị đánh cắp “luôn là kế hoạch”, họ nói.
Công ty bảo mật tiền điện tử SlowMist cho biết họ đã xác định được các dấu hiệu nhận dạng của kẻ tấn công và việc khai thác “có khả năng là một cuộc tấn công được lên kế hoạch, tổ chức và chuẩn bị kỹ lưỡng”.
“Bây giờ mọi người đều nhìn thấy sự âm mưu”, hacker nói. Song, phủ nhận rằng họ là người trong cuộc. “Nhưng ai biết được?”
Nguồn: Decrypt
