Giải pháp cross-chain Allbridge đã bị tấn công và đang treo thưởng để hacker trả lại số tiền đánh cắp.
Cập nhật tối ngày 03/04:
11:15 PM ngày 03/04 (giờ Việt Nam), Allbridge cho biết đã liên hệ và thương lượng thành công với hacker. Theo đó, thủ phạm đồng ý hoàn trả 1.500 BNB (tương đương 465.000 USD) và giữ số còn lại làm phần thưởng bug bounty.
Update on the exploit
— Allbridge (@Allbridge_io) April 3, 2023
1/ Our team was contacted by the owner of https://t.co/EW1uxXBQpD.
1500 BNB was returned to our team. The remaining funds will be considered a white hat bounty to this person.
Ngoài ra, số BNB thu hồi sẽ được quy đổi sang BUSD để bồi thường thiệt hại cho người dùng. Song đến hiện tại, vẫn còn một địa chỉ ví khác có liên quan đến sự cố chưa liên hệ Allbridge.
Cập nhật chiều ngày 03/04:
Đến đầu giờ chiều ngày 03/04, đội ngũ BNB Chain thông báo đã tìm ra kẻ chủ mưu vụ tấn công và đang hỗ trợ Allbridge thu hồi lại số tiền bị mất.
BNB Chain has identified the Allbridge attacker following on-chain analysis. We are actively supporting the Allbridge team on the fund recovery. The Allbridge team has offered the hacker a bounty.
— BNB Chain (@BNBCHAIN) April 2, 2023
We'd like to recognize the effort of AvengerDAO in this recovery effort.
Bài viết gốc:
Ngày 02/04, Peckshield là người đầu tiên phát hiện ra vụ tấn công và lên tiếng cảnh báo Allbridge đang bị thao túng giá trên các pool BNB Chain. Thiệt hại ước tính của vụ hack là ~570.000 USD, bao gồm 282.889 BUSD và 290.868 USDT.
The @Allbridge_io hack results in the loss of ~$570K (282,889 BUSD + 290,868 USDT). The root cause appears to be the manipulation of pool's swap price. The actor plays dual roles of acting as LP and swapper to manipulate the price and then drain the pool funds. https://t.co/JiPwVHsaCi pic.twitter.com/FY2wwA6IHm
— PeckShield Inc. (@peckshield) April 2, 2023
Cùng ngày, công ty bảo mật blockchain CertiK đã đưa ra phân tích về vụ hack, phương thức được kẻ tấn công sử dụng là flashloan. Cụ thể, hacker đã:
- Vay nóng (flash loan) 7,5 triệu BUSD;
- Thực hiện một loạt giao dịch swap và add pool trên Allbridge;
- Thao túng giá, swap từ 40.000 USD BUSD sang 789.632 USDT và rút cạn pool trên BNB Chain.
#CertiKSkynetAlert ?@Allbridge_io are currently investigating a situation with the BNB Chain pools.
— CertiK Alert (@CertiKAlert) April 2, 2023
The bridge has been temporarily shut done for investigation.
Stay safe! https://t.co/PkgspZCXqA
>> Xem thêm: Flash Loan – Con dao 2 lưỡi của thị trường DeFi?
Theo điều tra ban đầu, chỉ có các pool BNB Chain bị ảnh hưởng, song lỗ hổng vẫn có thể lây sang các pool khác. Sau đó, đội ngũ Allbridge đã lập tức cho dừng cầu nối để vá lỗi và truy vết số tiền đánh cắp.
Dự án cũng đề nghị hacker trả lại tiền bằng thưởng white hat bug bounty cùng với cam kết không truy tố trách nhiệm hình sự.
5/ The bridge has been temporarily suspended to prevent the potential exploits of the other pools. We will restart it once the vulnerability has been patched.
— Allbridge (@Allbridge_io) April 2, 2023
"Vui lòng liên hệ chúng tôi qua các kênh Twitter/Telegram chính thức hoặc tin nhắn on-chain, chúng tôi sẽ coi đây là một vụ hack mũ trắng và thảo luận về tiền thưởng để lấy lại tiền. Chúng tôi sẽ tiếp tục theo dõi ví, giao dịch và tài khoản CEX có liên quan đến vụ hack." - Thông báo viết.
Đồng thời, Allbridge đang làm việc với các bên điều tra on-chain, công ty luật, cơ quan thực thi pháp luật và các dự án bị ảnh hưởng khác.
To hacker's attention: addressing the incident and the next steps
— Allbridge (@Allbridge_io) April 2, 2023
1. We continue monitoring the wallets, transactions, and linked CEX accounts of individuals involved in the hack.
Ngoài ra, Allbridge còn đang lên kế hoạch bồi thường cho nạn nhân vụ hack và triển khai trang web rút tiền cho những người cung cấp thanh khoản cho dự án.
7/ Lastly, we are preparing a plan to compensate those affected by the attack. We will be able to share more information soon.
— Allbridge (@Allbridge_io) April 2, 2023
Theo PeckShield, đã có 26 vụ hack xảy ra trong tháng 3 vừa qua, dẫn đến tổng thiệt hại 211,5 triệu USD, trong đó tin tặc đã cuỗm mất 197 triệu USD từ Euler Finance.
#PeckShieldAlert ~26 exploits grabbed $211.5M in March 2023.
— PeckShieldAlert (@PeckShieldAlert) March 31, 2023
Regarding the @eulerfinance exploit, the estimated loss is $197M. The exploiter has returned 84,963.4 $ETH (~$152.8M) and 29.9M $DAI to the Deployer, and he has already transferred 1,100 $ETH to Tornado Cash pic.twitter.com/kf2Ul4uIun
Coin68 tổng hợp
Có thể bạn quan tâm:
