Sàn giao dịch DeFi bị đánh cắp 120 triệu USD

Hiếu Trung16:54 04/12/2021

Mới đây, một tin tặc đã rút tiền từ nhiều ví tiền điện tử được kết nối với nền tảng tài chính phi tập trung BadgerDAO, và nhiều loại token khác nhau đã bị đánh cắp trong cuộc tấn công trị giá khoảng 120 triệu USD.

Theo The Verge, trong khi cuộc điều tra vẫn đang diễn ra, các thành viên của Badger đã thông báo với người dùng rằng vấn đề đến từ việc tin tặc đã chèn một tập lệnh độc hại vào giao diện người dùng trên trang web của họ. Đối với bất kỳ người dùng nào tương tác với trang web khi tập lệnh đang hoạt động, tập lệnh sẽ chặn các giao dịch Web3 và chèn yêu cầu chuyển token của nạn nhân đến địa chỉ đã chọn của kẻ tấn công.

Các sàn giao dịch DeFi hiện tại trở thành mục tiêu tấn công béo bở cho tin tặc

Trong khi đó, PeckShield đã chỉ ra một giao dịch chuyển tiền 896 Bitcoin vào ví của kẻ tấn công trị giá hơn 50 triệu USD. Theo nhóm nghiên cứu, mã độc xuất hiện sớm nhất vào ngày 10.11 vừa qua khi những kẻ tấn công chạy tập lệnh độc hại vào những khoảng thời gian ngẫu nhiên để tránh bị phát hiện.

Video đang HOT

Các hệ thống tài chính phi tập trung (DeFi) dựa trên công nghệ blockchain để cho phép chủ sở hữu tiền điện tử thực hiện các hoạt động tài chính điển hình hơn như thu lãi thông qua cho vay. BadgerDAO hứa hẹn với người dùng rằng họ có thể “yên tâm khi biết rằng bạn không bao giờ phải từ bỏ khóa cá nhân cho tiền điện tử của mình, bạn có thể rút tiền bất cứ lúc nào bạn muốn và các chiến lược gia của chúng tôi đang làm việc ngày đêm để đưa tài sản của bạn hoạt động”. Giao thức của nó cho phép những người có Bitcoin “bắc cầu” tiền điện tử của họ với nền tảng Ethereum thông qua token và tận dụng các cơ hội DeFi.

Sau khi biết được việc chuyển tiền trái phép, Badger đã tạm dừng tất cả các hợp đồng thông minh, về cơ bản là đóng băng nền tảng và khuyên người dùng từ chối tất cả giao dịch đến địa chỉ của kẻ tấn công.

Công ty cho biết họ đã “giữ lại dữ liệu của các chuyên gia pháp y Chainalysis để khám phá toàn bộ quy mô của vụ việc và các cơ quan chức năng ở cả Mỹ và Canada đã được thông báo. Badger đang hợp tác toàn diện với các cuộc điều tra bên ngoài cũng như tiến hành các cuộc điều tra của chính họ”.

Một trong những hướng Badger đang điều tra là cách kẻ tấn công dường như đã truy cập vào Cloudflare thông qua khóa API mà lẽ ra phải được bảo vệ bằng xác thực hai yếu tố (MFA). Mặc dù cuộc tấn công không tiết lộ các lỗ hổng cụ thể trong bản thân công nghệ blockchain, nhưng nó đã cố gắng khai thác công nghệ “web 2.0″ cũ hơn mà hầu hết người dùng sử dụng để thực hiện các giao dịch.

Hệ thống xác thực đa yếu tố bảo vệ tài khoản chống lại nhiều âm mưu lừa đảo hoặc các cuộc tấn công nhồi nhét thông tin xác thực hàng loạt. Tuy nhiên, các chuyên gia nhiều lần cảnh báo về các cuộc tấn công lừa đảo có chủ đích có thể vượt qua nó, trong khi các bộ công cụ để tự động hóa quy trình đã có sẵn trong nhiều năm.

Lỗ hổng bảo mật khiến sàn giao dịch tài chính mất 31 triệu USD

Một tin tặc đã khai thác được lỗ hổng bảo mật trong cơ chế hợp đồng thông minh của MonoX Finance để tăng giá token kỹ thuật số và sau đó chiếm đoạt tài sản.

Theo Wired, công ty khởi nghiệp blockchain MonoX Finance mới đây thông báo một tin tặc đã đánh cắp được 31 triệu USD bằng cách khai thác một lỗi trong phần mềm mà dịch vụ này sử dụng để soạn thảo hợp đồng thông minh.

MonoX Finance là nạn nhân mới nhất của vụ tấn công vào sàn giao dịch tài chính phi tập trung (DeFi)

MonoX Finance sử dụng một giao thức tài chính phi tập trung được gọi là MonoX cho phép người dùng giao dịch các token kỹ thuật số mà không cần một số yêu cầu của các sàn giao dịch truyền thống. Đại diện của MonoX cho biết "Chủ sở hữu dự án có thể liệt kê các token của họ mà không gặp gánh nặng về yêu cầu vốn và tập trung vào việc sử dụng quỹ để xây dựng dự án thay vì cung cấp thanh khoản".

Một lỗi kế toán được tích hợp trong phần mềm của công ty này đã cho phép kẻ tấn công tăng giá token MONO và sau đó sử dụng nó để rút tiền của tất cả các token đã ký gửi khác, MonoX Finance tiết lộ trong một bài đăng.

Cụ thể, kẻ tấn công đã sử dụng cùng một token cho cả tokenIn và tokenOut, là các phương pháp trao đổi giá trị của token này cho một token khác. MonoX cập nhật giá sau mỗi lần hoán đổi bằng cách tính giá mới cho cả hai token. Khi quá trình hoán đổi hoàn tất, giá của tokenIn - tức là token do người dùng gửi - sẽ giảm và giá của tokenOut - token mà người dùng nhận được - tăng lên.

Bằng cách sử dụng cùng một token cho cả tokenIn và tokenOut, tin tặc đã tăng giá rất cao token MONO vì việc cập nhật tokenOut đã ghi đè lên bản cập nhật giá của tokenIn. Sau đó, tin tặc đã trao đổi token này để lấy token trị giá 31 triệu USD trên chuỗi khối Ethereum và Polygon.

Dan Guido, chuyên gia về bảo mật các hợp đồng thông minh cho biết, "Những kiểu tấn công này thường xảy ra trong các hợp đồng thông minh, bởi vì nhiều nhà phát triển không thực hiện đúng quy trình để xác định các thuộc tính bảo mật cho mã của họ. Hợp đồng thông minh cần bằng chứng có thể kiểm tra được rằng chúng thực hiện những gì bạn dự định và chỉ những gì bạn dự định. Điều đó có nghĩa là các thuộc tính và kỹ thuật bảo mật đã xác định được sử dụng để đánh giá chúng".

'Miền viễn tây hoang dã' của tiền mã hóa sắp bị siết chặt Các nhà lập pháp đang dần chuyển sự chú ý sang lĩnh vực tài chính phi tập trung (DeFi), nơi các giao dịch được thực hiện chủ yếu qua những dòng lệnh và không cần trung gian. Sau hàng loạt vụ hack và lừa đảo, những nhà lập pháp trên toàn cầu cho rằng tài chính phi tập trung có thể là mảnh...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Giá iPhone sẽ tăng vì một 'siêu công nghệ' khiến người dùng sẵn sàng móc cạn ví00:32

TikTok Trung Quốc lần đầu công bố thuật toán gây nghiện02:32

Apple muốn tạo bước ngoặt cho bàn phím MacBook05:51

Gemini sắp có mặt trên các thiết bị sử dụng hằng ngày08:26

Tính năng tìm kiếm tệ nhất của Google sắp có trên YouTube09:14

Chiếc iPhone mới thú vị nhất vẫn sẽ được sản xuất tại Trung Quốc00:36

Điện thoại Samsung Galaxy S25 Edge lộ cấu hình và giá bán "chát"03:47

Pin nấm - bước đột phá của ngành năng lượng bền vững08:03

Câu chuyện thú vị về bài hát khiến Windows 'đứng hình'02:25

Tiêu điểm

Tin đang nóng

Tin mới nhất

Google dùng AI giúp người dùng học ngôn ngữ hiệu quả

15:43:25 03/05/2025

Google tiếp tục mở rộng tầm ảnh hưởng của AI (trí tuệ nhân tạo) vào giáo dục khi vừa tung ra Little Language Lessons.

One UI 8 giúp bổ sung 12 GB RAM ảo

14:03:30 03/05/2025

Samsung đang chuẩn bị mang đến One UI 8 tính năng RAM Plus mới giúp các thiết bị Galaxy tăng hiệu năng nhanh chóng mà không tốn 1 xu.

Hướng dẫn cách đồng bộ CapCut trên điện thoại và máy tính dễ dàng

13:32:41 03/05/2025

Như vậy, chỉ với vài bước đơn giản, bạn đã có thể dễ dàng đồng bộ CapCut giữa điện thoại và máy tính, giúp quá trình chỉnh sửa video trở nên mượt mà và liền mạch hơn bao giờ hết.

Câu chuyện thú vị về bài hát khiến Windows 'đứng hình'

11:17:41 03/05/2025

Vào tháng 8.2022, kỹ sư Raymond Chen của Microsoft đã chia sẻ một câu chuyện thú vị liên quan đến bài hát Rhythm Nation của Janet Jackson.

Dự án 'quả cầu ma thuật' của Sam Altman ra mắt nước Mỹ

11:02:29 03/05/2025

Dự án nhận dạng kỹ thuật số danh tính con người thông qua quả cầu ma thuật Orb của CEO OpenAI Sam Altman chính thức được triển khai tại 6 thành phố ở Mỹ.

Khi các nhà sản xuất ô tô toàn cầu phải chuyển sang công nghệ Trung Quốc

09:49:03 03/05/2025

Khi các nhà sản xuất ô tô toàn cầu tìm cách tích hợp các hệ thống hỗ trợ người lái tiên tiến và các chức năng thông minh trong xe, các cải tiến của Trung Quốc đang chứng tỏ vai trò trung tâm trong các chiến lược bản địa hóa và đổi mới.

Cách đổi biểu tượng thanh điều hướng trên Samsung dễ dàng

15:51:57 02/05/2025

Chiếc điện thoại Samsung sẽ trở nên cá tính hơn khi bạn thay đổi biểu tượng trên thanh điều hướng thành các biểu tượng thời tiết đầy màu sắc hoặc hình thú cưng siêu dễ thương.

Cảnh báo hàng triệu thiết bị Apple AirPlay có nguy cơ bị tấn công

08:34:25 02/05/2025

Nếu bị khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên thiết bị, truy cập các tệp tin nhạy cảm, hoặc thậm chí kích hoạt micro của iPhone để theo dõi người dùng.

Trải nghiệm Mercusys MB112-4G: giải pháp router 4G linh hoạt cho người dùng phổ thông

19:40:03 01/05/2025

Mercusys MB112-4G là giải pháp kết nối internet di động qua mạng 4G, tích hợp tính năng cơ bản, dễ sử dụng và tương thích với nhiều loại SIM từ các nhà mạng phổ biến.

Doanh thu của Meta vượt kỳ vọng làm nhà đầu tư thở phào, Mark Zuckerberg nói về khoản đầu tư vào AI

15:21:55 01/05/2025

Meta Platforms tăng chi tiêu vốn dự kiến trong năm 2025 khi đẩy nhanh việc xây dựng các trung tâm dữ liệu có khả năng hỗ trợ trí tuệ nhân tạo (AI). AI là lĩnh vực mà Meta Platforms xác định là sẽ thúc đẩy và chuyển đổi hoạt động kinh do...

Cách AI được huấn luyện để 'làm luật'

10:28:14 01/05/2025

Ví dụ vào năm 2022, AI đề xuất sửa đổi nhầm một điều khoản về bảo hiểm y tế. Trên cơ sở lưu ý của con người, hệ thống được điều chỉnh để hiểu rõ hơn ngữ cảnh về y tế công.

AI tham gia vào toàn bộ 'vòng đời' dự luật

10:25:04 01/05/2025

Ngoài ra, AI còn được dùng để mô phỏng tác động của các dự luật đối với các nhóm dân cư khác nhau, từ đó giúp các nghị sĩ hiểu rõ hơn hệ quả xã hội và kinh tế trước khi biểu quyết.