DeFi’s Lendf.me mất 25 triệu đô la trong Ethereum, Tether và hơn thế nào: Sự cố

Cập nhật (2:30 chiều theo giờ PST vào Thứ Năm): Trong một động thái bất ngờ, tin tặc đã trả lại tất cả các mã thông báo Ethereum và ERC bị mất sau khi họ cố tình làm rò rỉ địa chỉ IP của mình cho một sàn giao dịch mà họ đang sử dụng. Cảnh sát Singapore và các cơ quan chức năng khác đã có chủ đích tham gia vào hoạt động này. Danh tính của tin tặc chưa được công khai. dForce hiện đang làm việc trên một giao thức để “làm cho người dùng trở nên toàn diện”, như Giám đốc điều hành của nhóm đã nói trong một ghi chú chân thành.

Giao thức tài chính phi tập trung (DeFi) dựa trên Ethereum Lendf.me vừa mất 25 triệu đô la trong một vụ khai thác tàn bạo. Đây là những gì đã xảy ra và những gì xảy ra tiếp theo cho những người liên quan.

Vụ tấn công của Ethereum DeFi App Lendf.me

Vào tối ngày 18 tháng 4, người dùng trên Twitter bắt đầu để ý rằng Lendf.me đã mất tiền nhanh chóng, với tốc độ mà các tiêu chuẩn thông thường cho là không an toàn.

Dữ liệu được chỉ ra rằng trong vòng vài giờ, giao thức đã mất 57% giá trị bị khóa. Đồng thời, Trang web của Lendf.me đã đăng một biểu ngữ bằng cả tiếng Quan Thoại và tiếng Anh của Trung Quốc nói rằng người dùng không nên gửi tiền vào giao thức.

Nhưng đã quá trễ rồi. Vào thời điểm lỗi đã được bắt, giao thức trống; trị giá 25 triệu đô la của Ethereum, Tether’s USDT và các mã thông báo hàng đầu khác đã được ký gửi đã biến mất, rút chủ yếu đến địa chỉ này. Tổng cộng, 25 triệu đô la đã bị mất, với phần lớn giá trị bị mất được giữ trong các mã thông báo như Ethereum, USD Coin, USDT và imBTC, một Bitcoin được mã hóa.

Điều gì đã xảy ra, theo một phân tích của một công ty an ninh mạng lấy tiền điện tử làm trung tâm, là kẻ tấn công đã tận dụng mã bị hỏng liên quan đến imBTC, một phiên bản của Bitcoin được mã hóa mà Lendf.me hỗ trợ.

Mã – liên quan đến chức năng “tokensToSend ()” – cho phép kẻ tấn công tăng số dư imBTC của hắn trên Lendf.me mà máy chủ nhận thấy mà không cần hắn thực sự gửi số tiền mà hắn chỉ định. Sau khi khai thác chức năng bị hỏng này nhiều lần trong cái được gọi là “cuộc tấn công lần đầu tiên”, trang web đã đăng ký rằng anh ta có đủ tài sản thế chấp để rút tất cả các mã thông báo đã được ký gửi, dẫn đến việc xóa sạch tiền.

Hình ảnh được phép của PeckShield

Một vụ khai thác tương tự đã được sử dụng để tiêu hao một thị trường trao đổi phi tập trung của imBTC số token trị giá 300.000 đô la khoảng 12 giờ trước khi vụ hack Lendf.me diễn ra, có nghĩa là chữ viết đã ở trên tường.

Cuộc tấn công xảy ra đúng bốn ngày sau khi dForce thông báo rằng nó đã hoàn thành vòng tài trợ 1,5 triệu đô la, đã chứng kiến ​​sự tham gia từ quỹ tiền điện tử Multicoin Capital, sàn giao dịch tài sản kỹ thuật số Huobi và chi nhánh đầu tư của ngân hàng lớn thứ năm của Trung Quốc.

Đó là một câu chuyện đang diễn ra

Mặc dù các khoản tiền liên quan đến các vụ lừa đảo và hack tiền điện tử thường xuyên hơn không phải là không thể khôi phục được, nhưng người dùng cá nhân của giao thức và bản thân dForce đang cố gắng sửa đổi tình hình.

Vì bạn có thể đưa tin nhắn vào các giao dịch Ethereum bằng cách chuyển đổi văn bản thành mã thập lục phân, nhiều người bắt đầu liên hệ với địa chỉ của tin tặc sau cuộc tấn công.

Một số cầu xin trả lại tiền của họ, với một bài viết: “Số tiền đó, 10.700 đô la, về cơ bản là tất cả tiền tiết kiệm của tôi. Tôi không biết tình hình của bạn [sic] thế nào nhưng cá nhân tôi rất đau. Hãy làm những gì bạn cho là đúng ”.

Lendf.me của DeFi mất 25 triệu đô la trong Ethereum, Tether và hơn thế nữa: Sự cố

Những người khác đã dành thời gian để trò đùa với hacker.

Và dForce, thông qua một địa chỉ quản lý hợp đồng Lendf.me, đã cố gắng liên lạc với kẻ tấn công, chia sẻ địa chỉ email của công ty. Trước sự ngạc nhiên của nhiều người, kẻ tấn công đã thực sự phản hồi, được chỉ ra bằng yêu cầu tiếp theo của dForce cho cá nhân đó để “kiểm tra email của họ”.

Các chi tiết của cuộc đàm phán đang diễn ra không được công khai, nhưng một số người đã đề xuất một thỏa thuận pháp lý nên được thiết lập trong đó hacker có thể ra đi với đầy đủ quyền miễn trừ, nhưng chỉ với một phần tiền. Cụ thể, 20% của con số $ 20 + triệu là số tiền đã được đề xuất.

Ghi chú từ dForce xác nhận rằng các cuộc đàm phán đã bắt đầu. Như CEO Mindao Yang đã viết:

“Chúng tôi đang làm mọi thứ trong khả năng của mình để kiềm chế tình hình. Chúng tôi đã liên hệ với cơ quan thực thi pháp luật ở một số khu vực pháp lý, liên hệ với các tổ chức phát hành và trao đổi tài sản để theo dõi và đưa vào danh sách đen địa chỉ của (các) tin tặc, đồng thời tham gia vào các nhóm pháp lý của chúng tôi. ”

Thật không may, dường như chưa có nhiều tiền lệ trong việc trao đổi hoặc các cơ quan thực thi pháp luật bắt được tin tặc của sàn giao dịch hoặc nền tảng DeFi. Rốt cuộc, Bitcoin, Ethereum và các loại tiền điện tử khác có thể dễ dàng bị hút sạch thông qua “máy trộn”, sau đó được bán qua các sàn giao dịch không yêu cầu KYC đệ trình hoặc những sàn không tham gia vào quá trình thẩm định kỹ lưỡng.

Cập nhật (12:30 tối theo giờ PST vào Chủ nhật): Kẻ tấn công đang trong quá trình trả lại một phần tiền, kể từ khi trả lại 320 Huobi Bitcoin (HBTC) và 381.162 Huobi USD (HUSD) cho nhóm dForce và cũng đã bắt đầu rút lại một số khoản vay mà anh ta đã thực hiện thông qua các khoản phi tập trung khác các giao thức tài chính như Compound và Aave. Một số người đã gợi ý rằng tin tặc sẽ chỉ trả lại các khoản tiền mà các bên tập trung có thể chặn, như stablecoin bán tập trung, chứ không phải các tài sản như Ethereum và Maker’s DAI. 

Một trong nhiều vụ tấn công Ethereum

Mặc dù đây có vẻ là vụ hack tồi tệ nhất của một ứng dụng DeFi từ trước đến nay, nhưng đây là vụ mới nhất trong một loạt các vụ khai thác được sử dụng để tiêu hao tài sản khó kiếm được của người dùng Ethereum.

Camila Russo – một nhà báo của Bloomberg trở thành nhà sáng tạo nội dung Ethereum – đã chỉ ra rằng trước khi Lendf thất bại, đã có những vụ khai thác vào tháng 3, tháng 2 và sau đó là tháng 6 năm ngoái. Mỗi cuộc tấn công có quy mô khác nhau, nhưng diễn ra trên một loạt các giao thức và liên quan đến một loạt các loại tiền điện tử khác nhau, cho thấy rằng những vấn đề này “không chỉ là vấn đề của một dự án”. Bà ấy xây dựng:

“Đó không chỉ là vấn đề của một dự án. DeFi cần các tiêu chuẩn bảo mật tốt hơn nếu không chúng ta sẽ tiếp tục thấy mặt trái của con dao hai lưỡi về khả năng tổng hợp đó. ”

Điểm mấu chốt của tất cả những điều này là nhiều người tin rằng DeFi có thể chưa sẵn sàng trở thành xu hướng chính thống, mặc dù tiềm năng của nó như một trường hợp sử dụng cho Ethereum. Như Jon Jordan, Giám đốc Truyền thông tại DAppRadar, đã nói với tôi trong một cuộc phỏng vấn:

“Tôi không nghĩ rằng có ai nghĩ rằng thế hệ DeFi hiện tại đã sẵn sàng để được triển khai vào dòng chính. Tổng cộng, có lẽ có ít hơn 10.000 người sử dụng giao thức DeFi – chỉ cần so sánh với Binance. ”

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me