Sự cố Hack Giao thức DeFi dẫn đến mất 212 nghìn đô la do lỗ hổng Hợp đồng thông minh

[TL; DR]

Vào ngày 1 tháng 8, giao thức tài chính phi tập trung Convergence đã gặp sự cố bảo mật do một lỗ hổng trong hợp đồng thông minh.

Một hacker hoặc một nhóm hacker đã khai thác lỗ hổng, tạo ra và bán $210.000 đồng token gốc của nó, và cũng đánh cắp $2.000 trong phần thưởng staking chưa được yêu cầu.

Wireshark, người sáng lập ẩn danh của Convergence, đã cung cấp một báo cáo tử thi chi tiết tiết lộ rằng hacker đã nhắm mục tiêu vào hợp đồng CvxRewardDistributor của giao thức.

Điều này cho phép kẻ tấn công tạo ra và bán 58 triệu token CVG, thu về khoảng 210.000 đô la.

Xem thêm: DeFi Eco 2024 Outlook: Xu hướng và Hướng đi chính

Ngoài ra, kẻ hack còn đánh cắp khoảng 2.000 đô la tiền thưởng chưa được rút từ Convex, một giao thức DeFi nhằm tối ưu hóa phần thưởng cho Curve Nhà cung cấp thanh khoản. Dữ liệu từ Etherscan cho thấy cuộc tấn công diễn ra vào khoảng 3:00 sáng theo giờ UTC ngày 1 tháng 8.

PeckShield, một công ty bảo mật blockchain, đã quan sát thấy rằng sau khi tạo ra các token CVG, hacker đã nhanh chóng chuyển đổi chúng thành 60 Ether và 15.900 Curve.fi đã được bọc. FRAX. Doanh nghiệp đã trải qua một sự sụp đổ giá gần như 100% với giá giao dịch hiện tại là $0.0004 và vốn hóa thị trường chỉ còn $57,000, theo dữ liệu từ CoinMarketCap.

Chi tiết Sự cố

Convergence tiết lộ rằng việc vi phạm xảy ra do nhóm vô tình xóa đi một dòng mã quan trọng trong hợp đồng thông minh của mình để phân phối phần thưởng staking CVG. Thay đổi này đã được thực hiện sau khi hợp đồng thông minh đã được kiểm tra bốn lần. “Sự thay đổi, nhằm tối ưu hóa gas, đã dẫn đến việc chúng tôi xóa dòng mã kiểm tra đầu vào được cung cấp cho chức năng,” nhóm giải thích.

Kẻ tấn công đã lợi dụng hợp đồng CvxRewardDistributor qua chức năng claimMultipleStaking, vượt qua quá trình xác minh. Điều này cho phép kẻ tấn công sử dụng một hợp đồng độc hại riêng biệt có cùng chữ ký với chức năng claimCvgCvxMultiple. Kết quả là, kẻ tấn công đã tạo ra tất cả các token được phân bổ cho việc phát hành và bán chúng trong các nhóm thanh khoản CVG, Convergence báo cáo.

Trong khi Convergence đảm bảo rằng quỹ người dùng vẫn an toàn, nó khuyên người dùng rút tài sản khỏi nền tảng. “Do lỗ hổng, hợp đồng phần thưởng cho tích hợp Stake DAO hiện đang không hoạt động. Nó sẽ được sửa chữa, và người stake sẽ có thể yêu cầu phần thưởng của họ sau khi nó được sửa chữa. Không có phần thưởng nào đã bị mất đối với người dùng tích hợp Stake DAO,” Convergence tuyên bố.

Convergence nhằm mục tiêu tổng hợp thanh khoản, tăng lợi nhuận, và cho phép khóa lỏng trong hệ sinh thái Tài chính Đường cong. Theo dữ liệu DefiLlama, sau vụ hack, tổng giá trị bị khóa trên Convergence giảm từ 5,79 triệu đô la xuống còn 3,69 triệu đô la. Vào tháng 7, hệ sinh thái tiền điện tử đã mất khoảng 266 triệu đô la do vụ hack, chủ yếu từ việc xâm nhập 230 triệu đô la của sàn giao dịch Ấn Độ WazirX vào ngày 18 tháng 7.

Giải thích Giao thức Hội tụ

Convergence Protocol là một nền tảng tài chính phi tập trung (DeFi) được thiết kế để tăng cường tính thanh khoản và cơ hội sinh lợi trong hệ sinh thái Curve Finance. Mục tiêu chính của nó là tổng hợp thanh khoản từ các nguồn khác nhau, tối ưu hóa lợi suất cho người dùng và tạo điều kiện cho việc gắn kết tài sản linh hoạt, cho phép người tham gia khóa tài sản của họ mà vẫn duy trì tính thanh khoản.

Giao thức đạt được điều này bằng cách tích hợp các dịch vụ và sản phẩm DeFi khác nhau, tạo ra trải nghiệm liền mạch cho người dùng muốn tối đa hóa lợi nhuận từ tài sản đặt cược. Nó cung cấp một nền tảng nơi người dùng có thể đặt cược token và kiếm phần thưởng, tham gia vào các hồ bơi thanh khoản và tham gia vào các chiến lược nông nghiệp sinh lời. Bằng cách làm như vậy, Convergence giúp người dùng tận dụng tối đa tài sản kỹ thuật số của họ mà không cần can thiệp và giám sát thủ công liên tục.

Tin tức gần đây: Dự trữ 168 triệu đô la của người sáng lập Curve đối mặt với áp lực

Một trong những tính năng chính của Convergence là tập trung vào tối ưu hóa gas và thiết kế hợp đồng thông minh hiệu quả. Điều này đảm bảo giao dịch trên nền tảng được tiết kiệm chi phí và nhanh chóng, giảm thiểu các chi phí phụ liên quan đến hoạt động blockchain. Ngoài ra, Convergence áp dụng một khung bảo mật mạnh mẽ để bảo vệ quỹ của người dùng và duy trì tính toàn vẹn của nền tảng.

Qua phương pháp tiếp cận DeFi, Convergence nhằm mở ra cơ hội tiếp cận các công cụ tài chính tiên tiến và cơ hội kinh tế phi tập trung, giúp người dùng tham gia vào nền kinh tế phi tập trung một cách dễ dàng và tự tin. Việc tích hợp với hệ sinh thái Curve Finance càng tăng thêm sức hấp dẫn của nó.

Đọc thêm: 8 giao thức DeFi tiềm năng - airdrops, yield, GF

Phản ứng thị trường sau tấn công

Phản ứng của thị trường đối với cuộc tấn công vào giao thức Convergence vào ngày 1 tháng 8 năm 2024 là nghiêm trọng và ngay lập tức. Cuộc tấn công dẫn đến việc phát hành và bán trái phép 58 triệu token CVG, gây ra mất mát khoảng 210.000 đô la Mỹ. Cuộc tấn công này đã khiến giá trị của CVG giảm mạnh 99%, từ khoảng 0,12 đô la xuống chỉ còn 0,0004 đô la. Sự suy giảm đột ngột này đã làm mất giá trị thị trường tổng cộng của token, trước đây được ước tính là 17 triệu đô la Mỹ.

Sau vụ hack, Convergence đã phát đi thông báo khẩn yêu cầu người dùng tránh tương tác với giao thức để ngăn chặn các rủi ro tiềm ẩn. Số tiền bị hacker đánh cắp đã nhanh chóng được chuyển đổi thành wrapped Ether (wETH) và stablecoin crvFRAX, sau đó được đưa qua Tornado Cash để che giấu dấu vết của chúng.

Phản ứng của thị trường nhấn mạnh sự mất niềm tin đáng kể vào giao thức, với các nhà đầu tư nhanh chóng rút tiền của họ và tâm lý chung trở nên rất tiêu cực. Vụ việc nhấn mạnh tầm quan trọng của sự mạnh mẽ biện pháp an ninh trong các giao thức DeFi và tác động tiềm năng của việc vi phạm bảo mật đến giá trị token và sự tự tin của nhà đầu tư.

DeFi Hacks năm 2024

Vào năm 2024, lĩnh vực tài chính phi tập trung (DeFi) tiếp tục đối mặt với những thách thức bảo mật đáng kể, với nhiều vụ hack nổi tiếng dẫn đến thiệt hại tài chính đáng kể. Một trong những sự cố đáng chú ý nhất xảy ra với Prisma Finance, một nền tảng đầu tư lại tiền mặt mà đã mất 10 triệu đô la do một lỗ hổng flash loan vào tháng 3 năm 2024. Kẻ tấn công đã rút gần 3.257,7 ETH khỏi giao thức, khiến Prisma Finance tạm dừng hoạt động để tiến hành cuộc điều tra kỹ lưỡng.

Đọc thêm: Một giao thức DeFi được tùy chỉnh cho biến động thị trường

Một vụ vi phạm lớn nữa liên quan đến BitForex, một sàn giao dịch tiền điện tử đã biến mất sau khi rút gần 57 triệu đô la từ ví nóng của mình vào tháng 2 năm 2024. Sự cố này khiến người dùng không thể truy cập vào tài khoản của họ và nhấn mạnh những thách thức về quy định liên tục tại Hong Kong, nơi mà BitForex đã đăng ký​.

Ngoài ra, PlayDapp, một nền tảng crypto gaming và NFT, đã trải qua các vụ khai thác trong tháng 2 dẫn đến việc phát hành không được ủy quyền 1,79 tỷ token PLA, có giá trị hơn 290 triệu đô la. Tin tặc bắt đầu rửa tiền sau vụ khai thác, chứng minh sự phức tạp trong việc theo dõi và khôi phục tài sản bị đánh cắp trong không gian DeFi.

Tháng 5 năm 2024 cũng chứng kiến một số vụ hack đáng kể, tổng cộng hơn 600 triệu đô la trong tổn thất. Trong số này, việc vi phạm khóa riêng tư đã dẫn đến mất mát 70 triệu đô la cho một con cá mập tiền điện tử, mặc dù sau đó số tiền bị đánh cắp đã được trả lại bởi kẻ tấn công. Ngoài ra, GNUS, một Fantom Dự án dựa trên - đã bị hack mất 1,27 triệu đô la do một lỗ hổng cho phép tạo ra các token GNUS giả.