Mặc dù đã thực hiện các biện pháp phòng ngừa, giao thức DeFi Raft vẫn là nạn nhân của một vụ khai thác bảo mật vào tuần trước, dẫn đến tổng thiệt hại số tiền trị giá 6,7 triệu USD.
Vi phạm an ninh được tiết lộ
Raft, một nền tảng tài chính phi tập trung đằng sau stablecoin R được chốt bằng USD, đã báo cáo một hành vi khai thác bảo mật trong hệ thống của mình mặc dù đã trải qua nhiều cuộc kiểm tra bảo mật. Theo báo cáo được công bố vào ngày 13 tháng 11, một hacker đã vay 6.000 Ether (cbETH) được đặt cọc trên Coinbase trên Aave và khai thác một trục trặc trong hợp đồng thông minh để đúc 6,7 triệu token R.
Báo cáo đã xác định vấn đề tính toán chính xác trong quá trình đúc mã thông báo chia sẻ là nguyên nhân chính, cho phép kẻ tấn công lấy thêm mã thông báo chia sẻ. Việc khai thác này đã tận dụng giá trị chỉ số được khuếch đại để làm tăng giá trị của cổ phiếu.
R Depeggged, bất chấp các biện pháp phòng ngừa
Sau khi khai thác, số tiền trái phép đã được chuyển khỏi nền tảng thông qua nhóm thanh khoản trên các sàn giao dịch phi tập trung Balancer và Uniswap, mang lại số tiền thu được là 3,6 triệu USD. Sau đó, stablecoin R đã trải qua giai đoạn giảm giá sau cuộc tấn công. Theo dữ liệu của Coinmarketcap, stablecoin được chốt bằng đô la của Raft, R, ban đầu giảm 50% so với mức giá 1 đô la sau khi khai thác nhưng sau đó đã phục hồi lên khoảng 70 xu.
Các hợp đồng thông minh bị khai thác đã trải qua quá trình kiểm toán bởi các công ty bảo mật blockchain Trail of Bits và Hats Finance. Theo Raft, bất chấp những nỗ lực này, các lỗ hổng dẫn đến sự cố đã không được phát hiện trong các cuộc kiểm tra này.
Hacker bị mất tiền?
Dữ liệu trên chuỗi tiết lộ một khía cạnh hấp dẫn – sau khi rút 1.577 ETH từ Raft, kẻ tấn công đã gửi 1.570 ETH đến một địa chỉ đốt, phá hủy hầu hết tài sản bị đánh cắp một cách hiệu quả và chỉ để lại 7 ETH. Ví tiền điện tử của kẻ tấn công đã nhận được 18 ETH thông qua Tornado Cash trước cuộc tấn công và chỉ còn lại 14 ETH sau khi thực hiện chuyển khoản, cho thấy đã mất 4 ETH.
Báo cáo khám nghiệm tử thi cho thấy, “Nguyên nhân cốt lõi chính là vấn đề tính toán chính xác khi đúc mã thông báo chia sẻ, điều này cho phép kẻ khai thác có được thêm mã thông báo chia sẻ. Kẻ tấn công đã tận dụng giá trị chỉ số được khuếch đại để tăng giá trị cổ phiếu của chúng.”
Hành động sau sự cố
Kể từ khi vụ việc xảy ra vào ngày 10 tháng 11, Raft đã thực hiện các bước ngay lập tức, nộp báo cáo cho cảnh sát và hợp tác với các sàn giao dịch tập trung để truy tìm số tiền bị đánh cắp. Hiện tại, tất cả các hợp đồng thông minh của Raft đều bị đình chỉ. Tuy nhiên, người dùng đã đúc R vẫn có khả năng hoàn trả vị trí của họ và lấy lại tài sản thế chấp của họ.
Sau vụ khai thác này, Raft phải đối mặt với thách thức kép là phục hồi sau tổn thất tài chính và khôi phục niềm tin trong cơ sở người dùng của mình.
Tuyên bố miễn trừ trách nhiệm: Bài viết này được cung cấp chỉ nhằm mục đích cung cấp thông tin. Nó không được cung cấp hoặc nhằm mục đích sử dụng làm tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.
Để Lại Phản Hồi