Mới đây, Saddle Finance, một giao thức tài chính phi tập trung ( DeFi) đã bị hacker tấn công và đánh cắp 10 triệu USD, theo báo cáo của công ty phân tích dữ liệu và bảo mật blockchain PeckShield.
Vụ tấn công đã xảy ra trong một loạt các giao dịch theo đó, hacker đã lợi dụng một lỗi sai trong lib MetaSwapUtils, chuyên được sử dụng để tính toán các giao dịch swap. Tin tặc đã bắt đầu khai thác (exploit) với 1 ETH rút từ Tornado Cash.
1/ @saddlefinance was exploited in a flurry of txs (https://t.co/jnFnZHMaO7 and https://t.co/RbpyXg7Sxw),
resulting in the protocol loss of >$10M.— PeckShield Inc. (@peckshield) April 30, 2022
Trong số 3,937.6 ETH bị đánh cắp, tin tặc đã gửi khoảng 900 ETH vào Tornado Cash. Tính đến thời điểm viết bài, có khoảng 2,500 ETH trong ví hacker.
BlockSec giúp Saddle Finance thu hồi một phần số tiền bị đánh cắp
Theo thông tin mới nhất, Saddle Finance đã có thể mất nhiều hơn nếu công ty kiểm toán hợp đồng thông minh và bảo mật blockchain, BlockSec không phát hiện ra sự việc. Áp dụng một hệ thống nội bộ sử dụng flashbots để phát hiện và xử lý các sự cố hack, công ty đã giúp dự án thu hồi lại được 3.8 triệu USD số tiền bị trộm.
@saddlefinance Please contact us ([email protected]).
— BlockSec (@BlockSecTeam) April 30, 2022
Ban đầu, BlockSec đã thông báo cho Saddle Finance về vụ hack trên Twitter. Công ty sau đó đã tiết lộ rằng
“Hacker đã tấn công và lấy đi 4,900 Ether (13.8 triệu USD). Trong số đó, 1,360 Ether (3.8 triệu USD) đã được chúng tôi giải cứu ”.
Ngay sau đó, Saddle Finance đã xác nhận về vụ tấn công này trên Twitter của mình. Nhà tạo lập thị trường tự động phi tập trung tuyên bố rằng họ đang điều tra việc khai thác và đã tạm dừng tính năng rút tiền (metapool) trên giao thức.
The team is investigating a possible exploit and is pausing pool withdrawals
— Saddle (@saddlefinance) April 30, 2022
Tiếp đó, đến chiều, nền tảng stablecoin thuật toán Fei Protocol thông báo pool Fuse của họ trên Rari Capital đã bị tấn công song chưa rõ thiệt hại. Tuy nhiên, Ví của hacker đang có đến 27.974 ETH, trị giá gần 80 triệu USD. Hacker hiện đã bắt đầu chuyển tiền lên Tornado Cash để rửa.Fei Protocol thông báo tạm ngưng mọi hoạt động vay tiền để hạn chế thiệt hại, đồng thời trao thưởng 10 triệu USD để hacker trả lại toàn bộ tiền.
We are aware of an exploit on various Rari Fuse pools. We have identified the root cause and paused all borrowing to mitigate further damage.
To the exploiter, please accept a $10m bounty and no questions asked if you return the remaining user funds.
— Fei Protocol (@feiprotocol) April 30, 2022
Cũng trong chiều 30/04, hacker tấn công vào Parity vào năm 2017 bất ngờ di chuyển 9.000 ETH (trị giá 25 triệu USD) lên Tornado Cash và tiến hành rửa tiền. Vụ tấn công Parity khi ấy đã dẫn đến thiệt hại đên 153.000 đô.
The 2017 Parity Multisig Exploit Hacker (0x18345118bd04c405B4D74941563a21B5a2bF06b7) is laundering money with @TornadoCash and has laundered over 9,000 ether worth over $25 million at the time of writing. @etherscan pic.twitter.com/r7immdQS7N
— MistTrack (@MistTrack_io) April 30, 2022
