Tài chính phi tập trung ( DeFi ) đề cập đến các ứng dụng blockchain loại bỏ người trung gian khỏi các sản phẩm và dịch vụ tài chính như cho vay, tiết kiệm và hoán đổi. Mặc dù DeFi đi kèm với phần thưởng cao, nhưng nó cũng tiềm ẩn nhiều rủi ro.
Vì bất kỳ ai cũng có thể tạo ra một giao thức DeFi và viết một số hợp đồng thông minh , nên các sai sót trong mã là rất phổ biến. Và trong DeFi, có rất nhiều kẻ vô lương tâm sẵn sàng và có thể khai thác những sai sót đó. Khi điều đó xảy ra, hàng triệu đô la bị mất và thường người dùng không có quyền truy đòi.
Người dùng DeFi đã mất 10,5 tỷ đô la vì hành vi trộm cắp vào năm 2021, theo một báo cáo vào tháng 11 của Elliptic. Nhưng danh sách các vụ khai thác lỗ hổng DeFi lớn nhất của chúng tôi cho thấy, con số đó kể từ đó đã tăng thêm hàng triệu. (Tất cả các số liệu dưới đây là giá trị của quỹ tại thời điểm xảy ra sự cố).
13. Grim Finance: 30 triệu đô la
Thường thì các dApp lấy cảm hứng chủ đề từ các blockchain mà chúng được xây dựng trên đó. Do đó, hệ sinh thái của Avalanche chứa đầy các yếu tố về tuyết, như Snowtrace, Blizz và Defrost. Trong khi đó, hệ sinh thái Fantom giống như một bữa tiệc Halloween trên chuỗi. Điều đó dường như làm tăng thêm cấp độ đen tối hơn khi mọi thứ diễn ra không ổn, như trường hợp của Grim Finance, một giao thức tối ưu hóa lợi nhuận.
Vào tháng 12 năm 2021, giao thức đã phải chịu một cuộc tấn công lần đầu tiên, một kiểu khai thác trong đó kẻ tấn công giả mạo các khoản tiền gửi bổ sung vào một kho tiền trong khi giao dịch trước đó vẫn chưa được giải quyết. Cuối cùng, cuộc tấn công đã đánh lừa hợp đồng thông minh giải phóng 30 triệu đô la mã thông báo Fantom.
Gần đây các giao thức DeFi thường sử dụng các trình bảo vệ – các đoạn mã ngăn chặn các cuộc tấn công như vậy. Báo cáo kiểm toán của Grim Finance từ Solidity Finance đã tuyên bố không chính xác rằng giao thức có các biện pháp bảo vệ gần đây – một lời nhắc nhở rằng các cuộc kiểm toán không có gì đảm bảo rằng việc khai thác lổ hổng bảo mật sẽ không xảy ra.
12. Meerkat Finance: 31 triệu đô la
Đôi khi không mất nhiều thời gian để một giao thức DeFi bị khai thác lần đầu tiên. Giao thức cho vay dựa trên chuỗi thông minh của Binance Meerkat Finance đã mất 31 triệu đô la tiền của người dùng chỉ một ngày sau khi ra mắt vào tháng 3 năm 2021.
Kẻ tấn công đã gọi một chức năng trong hợp đồng khiến địa chỉ của họ trở thành chủ sở hữu kho tiền, tiêu tốn của dự án 13,96 triệu USD bằng stablecoin BUSD của Binance và thêm 73.000 BNB (mã thông báo gốc của Binance). Vụ trộm BNB trị giá khoảng 17,4 triệu đô la vào thời điểm đó.
Nhiều người dùng tranh luận rằng đó là một vụ nội bộ: một cú kéo thảm do các nhà phát triển giao thức. Meerkat đã phủ nhận các cáo buộc.
11. Vee Finance: 35 triệu đô la
Mùa hè năm 2021 chứng kiến sự gia tăng hoạt động trên Avalanche , điều này cũng thu hút những kẻ khao khát khai thác lỗ hổng hệ sinh thái non trẻ của mạng blockchain.
Vào tháng 9 năm 2021, chỉ một tuần sau khi nền tảng cho vay Vee Finance kỷ niệm cột mốc 300 triệu đô la trong tổng giá trị tài sản bị khóa, nó đã phải chịu cú khai thác lỗ hổng lớn nhất trên mạng Avalanche.
Cuộc tấn công có thể xảy ra phần lớn vì tính năng giao dịch đòn bẩy của Vee Finance dựa vào giá mã thông báo được cung cấp bởi giao thức thanh khoản chính của Avalanche là Pangolin. Để lạm dụng điều đó, kẻ tấn công đã tạo ra bảy cặp giao dịch trên Pangolin, cung cấp tính thanh khoản và cuối cùng đặt các giao dịch đòn bẩy trên Vee. Điều đó cho phép chúng rút 35 triệu đô la tiền điện tử ra khỏi giao thức.
Trong một tweet gửi đến “Mr / Ms 0x ** 95BA thân mến”, giao thức yêu cầu kẻ tấn công trả lại tiền như một phần của chương trình tiền thưởng, điều này sẽ cho phép kẻ tấn công giữ một phần. Nhưng tin tặc Vee tỏ ra không muốn trả lại tiền.
10. PancakeBunny: 45 triệu đô la
Tiền điện tử thường trải qua những thời kỳ ngắn ngủi nhưng dữ dội. Và vào mùa xuân năm 2021, Binance Smart Chain (bây giờ chỉ là BNB Chain) là xu hướng DeFi nóng nhất, đặc biệt là đối với người dùng cá nhân, do phí mạng của nó thấp.
Nhưng BSC cũng có rất nhiều vụ lừa đảo và hack, trong đó lớn nhất là vụ khai thác vào tháng 5 năm 2021 nhằm vào giao thức canh tác năng suất PancakeBunny.
Một tin tặc đã thao túng thuật toán định giá của PancakeBunny thông qua một loạt tám cuộc tấn công cho vay nhanh, tăng giá mã thông báo gốc của giao thức là $BUNNY. Tin tặc kiếm được 45 triệu đô la bằng cách mua rẻ BUNNY đô la theo tỷ giá thị trường và bán nó với mức cao giả tạo.
9. bZx: 55 triệu đô la
Giao thức cho vay đa chuỗi bZx đã bị tấn công vào tháng 11 năm 2021 sau khi “khóa riêng” bị xâm phạm. Giao thức đã mất tổng cộng 55 triệu đô la được triển khai trên Binance Smart Chain và Polygon.
Nhưng bZx đã trải qua nỗi đau tương tự hai lần trước đó.
Mặc dù các cuộc tấn công cho vay nhanh là một chiến thuật khai thác DeFi phổ biến ngày nay, bZx là một “OG” về mặt đó. Nó đã trở thành đối tượng của các cuộc tấn công cho vay nhanh vào tháng 2 năm 2020, nhắm mục tiêu vào nền tảng giao dịch ký quỹ Fulcrum. Tin tặc đã kiếm được 1.300 ETH được bọc, trị giá 366.000 đô la vào thời điểm đó.
Trong một cuộc tấn công khác vào tháng 9 năm 2020, bZx đã mất 30% số tiền bị khóa trong kho tiền của mình, khi đó trị giá 8 triệu đô la. Tuy nhiên, những người dùng có vị thế ký quỹ mở không bị lỗ bởi vì, như giao thức sau đó đã nói trong một báo cáo, những khoản tiền đó đã được ghi nợ vào quỹ bảo hiểm của bZx.
8. Badger DAO: 120 triệu đô la
Không phải lúc nào lỗ hổng hợp đồng thông minh cũng làm bốc hơi hàng triệu USD từ một dự án DeFi.
Vào tháng 12 năm 2021, cầu nối Bitcoin-to-DeFi Badger DAO bị mất 120 triệu đô la sau khi những kẻ lừa đảo lừa các thành viên Badger DAO chấp thuận các giao dịch độc hại, cho phép chúng kiểm soát quỹ vault của người dùng và chuyển tiền.
Công ty bảo mật chuỗi khối PeckShield nói với Decrypt rằng các hợp đồng của giao thức an toàn trước sự khai thác và chỉ giao diện người dùng bị ảnh hưởng.
7. Cream Finance: 130 triệu đô la
Giao thức cho vay Cream Finance đã mất 130 triệu đô la trong một cuộc tấn công cho vay chớp nhoáng vào tháng 10 năm 2021 — đánh dấu cuộc tấn công thứ ba gây ra trên giao thức này.
Các khoản vay nóng cho phép bạn vay ngay lập tức, với điều kiện bạn phải trả lại chúng trong cùng một giao dịch. Mặc dù hữu ích cho các trò chơi chuyên đăng quảng cáo, nhưng chúng được các tác nhân độc hại triển khai rộng rãi để khai thác các lỗ hổng trong giao thức DeFi. Trong trường hợp của Cream Finance, hacker cho vay nóng đã có thể khai thác lỗ hổng định giá bằng cách liên tục cho vay nhanh trên các địa chỉ Ethereum khác nhau.
Cream đã nhìn thấy tất cả cách thức này trước đây. Vào tháng 8 năm 2021, một tin tặc đã đánh cắp khoảng 25 triệu đô la trong một cuộc tấn công cho vay nhanh khác, chủ yếu nhắm vào mã thông báo gốc của Flexa Network, AMP. Và trong một cuộc tấn công cho vay chớp nhoáng vào tháng 2 năm 2021, các tin tặc đã bòn rút 37,5 triệu đô la từ nhóm của giao thức.
6. Vulcan Forged: 140 triệu đô la
Chơi để kiếm tiền là một trong những xu hướng mới nhất trong tiền điện tử, nhưng nó không tránh khỏi những mánh khóe và cạm bẫy kiểu cũ — đặc biệt là những xu hướng khai thác các tính năng tập trung. Vulcan Forged, một nền tảng chơi để kiếm tiền trên Polygon, đã học được bài học nhớ đời khi vào tháng 12 năm 2021 người dùng của nó mất 140 triệu đô la.
Theo một báo cáo sau khi khám nghiệm tử thi, một tin tặc đã lấy được thông tin đăng nhập của các ví người dùng tập trung của nền tảng — Venly — để nắm giữ các khóa cá nhân của 96 ví tiền điện tử. Sau đó, tin tặc đã sử dụng nó để lấy các khóa riêng trong tính năng danh mục tài sản của nền tảng — MyForge — và cuối cùng kiếm được 4,5 triệu mã thông báo PYR tự nhiên của Vulcan Forged.
Trong bài phát biểu trước cộng đồng, Giám đốc điều hành Jamie Thomson của Vulcan Forged cho biết, “Tất nhiên trong tương lai, chúng tôi sẽ không sử dụng gì ngoài ví phi tập trung để chúng tôi không bao giờ phải gặp vấn đề này nữa”.
5. Compound: 150 triệu đô la
Giống như hầu hết các giao thức DeFi, giao thức cho vay Compound có mã thông báo quản trị, COMP. Giao thức phân phối mã thông báo cho người dùng trong các điều kiện cụ thể.
Vào tháng 10 năm 2021, Compound đã xuất hiện một lỗi – “ bí mật được giữ kín tốt nhất trong DeFi ” – cho phép những người đi vay yêu cầu nhiều hơn phần dự kiến của họ đối với COMP. Lỗi liên quan đến hai trong số các kho tiền của nó, hoặc các nhóm tiền trên hợp đồng thông minh. Người dùng sẽ gọi một hàm cụ thể — drip () – trên Reservoir vault, nó sẽ nạp đầy một vault khác, Comptroller. Kho tiền đó sẽ tự động phân phối một lượng lớn COMP đến các địa chỉ sai. Kho tiền bị rò rỉ là kết quả của một lỗi được giới thiệu trong bản cập nhật giao thức trước đó.
Sau khi 80 triệu đô la trong COMP được gửi nhầm người, nhóm nghiên cứu đã gấp rút vá một bản sửa lỗi. Nhưng trước khi có thể thực hiện bất kỳ bản sửa lỗi nào, giao thức yêu cầu phải thông qua một đề xuất quản trị . Nó được tạo ra vào ngày 2 tháng 10 và cuối cùng được chấp nhận vào ngày 9 tháng 10. Trong khi cộng đồng tranh luận, các hầm chứa đã mất thêm 68,8 triệu đô la.
Người sáng lập của Compound, Robert Leshner, đã thử và lấy lại tiền như thế nào? Bằng cách tweet , “Bất kỳ ai trả COMP trở lại cộng đồng đều là một giga-chad ngoài hành tinh; và nếu một đội giga-cha ngoài hành tinh triệu tập tôi, tôi sẽ xuất hiện. ” Gần một nửa số tiền đã được trả lại.
4. Beanstalk: 182 triệu đô la
Làm đi. Các khoản vay nhanh — rất hữu ích nhưng lại rất nguy hiểm. Chỉ hai ngày sau khi kỷ niệm rằng tài sản 150 triệu đô la đã bị khóa vào giao thức của nó, Beanstalk dựa trên Ethereum đã phát hiện ra rằng 182 triệu đô la đã bị mất tích trong một cuộc tấn công cho vay chớp nhoáng. (Các) hacker đã rửa 80 triệu đô la trong Ethereum thông qua Tornado Cash. Beanstalk được biết đến với stablecoin thuật toán là BEAN, được cho là có giá trị 1 đô la. Mặc dù nó đã cố gắng giữ được chốt của mình ngay sau cuộc tấn công, nhưng việc khai thác đã chứng minh rằng các stablecoin theo thuật toán chỉ ổn định như các hợp đồng làm nền tảng cho chúng.
3. Wormhole: 326 triệu đô la
Vì ngày càng có nhiều blockchains lớp 1 với DeFi được xây dựng trên đỉnh chúng, người dùng càng có mong muốn chuyển tiền giữa các chuỗi. Các cầu nối xuyên chuỗi giải quyết nhu cầu đó, nhưng chúng cũng tạo ra các lỗ hổng mới. Sự cố chuỗi chéo gây thiệt hại lớn nhất xảy ra vào tháng 1 năm 2022, khi Wormhole, một cây cầu phổ biến, mất 320 triệu đô la trong Wrapped Ethereum (wETH). WETH là một loại tiền điện tử được gắn với giá của Ethereum trên cơ sở 1: 1.
Tin tặc đã nhắm mục tiêu chân cầu trên Solana, nơi người dùng trước tiên phải khóa Ethereum vào một hợp đồng thông minh để nhận được số tiền tương đương trong Wrapped Ethereum. Tin tặc đã tìm ra cách giải quyết vấn đề này bằng cách tạo ra WETH mà không khóa ETH trong Wormhole.
Jump Trading Group, một bên liên quan trong sự phát triển của Wormhole, đã có sáng kiến bổ sung kho tiền Ethereum của Wormhole và làm cho toàn bộ trở lại.
2. Ronin: 552 triệu đô la
Trò chơi chơi để kiếm tiền do NFT cung cấp Axie Infinity là một trong những câu chuyện thành công về tiền điện tử lớn nhất trong năm qua. Vào ngày 23 tháng 3 năm 2022, nó đã trở thành nạn nhân của một trong những vụ hack tiền điện tử lớn nhất , với ước tính khoảng 552 triệu đô la tiền điện tử được rút từ cây cầu sang sidechain Ronin của nó bằng cách sử dụng “khóa cá nhân bị tấn công”.
Vào thời điểm vụ khai thác được nhà phát triển Sky Mavis của Axie Infinity tiết lộ một tuần sau đó, giá trị số tiền bị đánh cắp đã lên tới 622 triệu đô la.
Theo một báo cáo từ Sky Mavis, kẻ tấn công đã sử dụng “một cửa hậu thông qua nút RPC không phí gas của chúng tôi, mà chúng đã lạm dụng để lấy chữ ký cho trình xác thực Axie DAO.”
Giải thích rằng vào tháng 11 năm 2021, Sky Mavis đã chuyển sang Axie DAO để phân phối các giao dịch miễn phí do lượng người dùng cao, báo cáo cho biết thêm rằng, “Axie DAO đã cho phép Sky Mavis trong danh sách ký các giao dịch thay mặt cho mình. Điều này đã bị ngừng vào tháng 12 năm 2021, nhưng quyền truy cập danh sách cho phép đã không bị thu hồi. “
Bằng cách sử dụng khai thác, kẻ tấn công sau đó có thể ký các giao dịch từ năm trong số chín nút xác thực trên mạng Ronin, bao gồm nút của AxieDAO và bốn trong số các nút của chính Sky Mavis. Điều này cho phép kẻ tấn công giả mạo các giao dịch và yêu cầu 173.600 WETH (Ethereum được bọc) và 25,5 triệu USDC, tổng trị giá khoảng 622 triệu USD.
Gọi nó là “một trong những vụ hack lớn nhất trong lịch sử”, Jeff Zirlin, người đồng sáng lập Axie Infinity, lưu ý rằng “có khả năng [hacker] có thể được xác định và đưa ra công lý.”
1. Mạng Poly: 611 triệu đô la
Vụ hack Poly Network vẫn là vụ tấn công lớn nhất trong lĩnh vực tiền điện tử – không chỉ DeFi. Tuy nhiên, may mắn thay, câu chuyện bắt đầu vào ngày 10 tháng 8 năm 2021 đã kết thúc một cách vui vẻ ba ngày sau đó sau một loạt những khúc mắc kỳ lạ.
Vụ trộm bắt đầu khi một tin tặc khai thác lỗ hổng trong “lệnh gọi hợp đồng” của Poly Network — các đoạn mã cung cấp năng lượng cho giao thức. Hacker đã nhanh chóng kiếm được 611 triệu đô la bằng nhiều loại tiền điện tử khác nhau, khiến Poly phải xuất bản một bức thư tuyệt vọng với lời chào “Kính gửi Hacker.”
Nỗ lực giao tiếp đó, và những nỗ lực tiếp cận sau đó, cuối cùng đã có kết quả. Giao thức cung cấp một khoản tiền thưởng trị giá nửa triệu đô la và cơ hội cho hacker trở thành cố vấn bảo mật chính của nó. Nhưng trong một phiên hỏi đáp trực tuyến, hacker giải thích rằng việc khai thác chỉ nhằm dạy cho Poly Network một bài học. Họ nói rằng việc trả lại số tiền bị đánh cắp luôn nằm trong “kế hoạch”.
Công ty bảo mật tiền điện tử SlowMist cho biết họ đã xác định được các dấu hiệu nhận dạng của kẻ tấn công và vụ khai thác “có khả năng là một cuộc tấn công được lên kế hoạch từ lâu, có tổ chức và chuẩn bị.”
“Bây giờ mọi người đều ngửi thấy cảm giác có âm mưu”, hacker nói, phủ nhận họ là người trong cuộc . “Nhưng ai biết được?”
Nguồn: Decrypt
Đầu tư vào dự án blockchain, tiền mã hoá, chứng khoán...rất tiềm năng nhưng cũng tiềm ẩn rủi ro cao, bạn chỉ nên đầu tư trong phạm vi tài chính cho phép của bạn. Chúng tôi khuyến nghị bạn hãy trang bị kiến thức, tìm hiểu thật kỹ và có tư vấn từ chuyên gia trong lãnh vực bạn có ý định đầu tư.
Để không bỏ lỡ thông tin mới trên Bitcoininus, vui lòng theo dõi kênh Telegram / FB hoặc đăng ký nhận e-mail.