Công ty bảo mật BlockSec đã sớm ngăn chặn một hacker đánh cắp 5 triệu USD từ dự án cho vay NFT Paraspace.
BlockSec – đơn vị chuyên audit smart contract, đã kịp thời phát hiện và chặn đứng một vụ đánh cắp 2.900 ETH (trị giá 5 triệu USD) trên dự án cho vay NFT Paraspace.
Chiều ngày 17/03, tranh thủ thời gian gas fee đang rẻ, thủ phạm đã tìm cách tấn công vào nền tảng Paraspace. Tuy nhiên, “cảnh sát on-chain” BlockSec đã sớm phát hiện và chặn đứng âm mưu của tin tặc, đồng thời kiểm soát 2.900 ETH (5 triệu USD) đang đứng trước nguy cơ bị mất trắng của Paraspace.
1/ There is a flawed logic in borrow() of the ParaProxy contract (0x638a) of @ParaSpace_NFT . The attacker can borrow more tokens as his scaledBalance will be enlarged by depositing into the position of the proxy (0xC5c9), i.e., specifying the _recipient of depositApeCoin(). https://t.co/Z4e1QOpLg3 pic.twitter.com/fkd96nAPHb
— BlockSec (@BlockSecTeam) March 17, 2023
BlockSec sau đó đã thông báo sự việc cho dự án lending và Paraspace đã lập tức cho tạm dừng giao thức để làm rõ vấn đề. Dự án khẳng định tất cả NFT được gửi vào nền tảng vẫn an toàn.
We noticed a suspicious transaction, and as a security measure, we have paused the entire ParaSpace protocol.
Currently, no transactions (withdrawals, deposits, liquidations) can take place with our contracts.
We are currently investigating and will provide you with an update… https://t.co/3vrIciVF5C
— ParaSpace (@ParaSpace_NFT) March 17, 2023
Theo BlockSec, lỗ hổng nằm ở các hợp đồng cho vay của Paraspace, cho phép kẻ tấn công dễ dàng vay ra token chỉ với rất ít tài sản thế chấp, từ đó rút hết thanh khoản của nền tảng. Lei Wu – co-founder kiêm CTO của BlockSec tiết lộ, BlockSec đã phá vỡ vụ hack bằng một hệ thống phát hiện sự cố nội bộ theo thời gian thực.
Đáng chú ý, hacker còn gửi tin nhắn on-chain yêu cầu BlockSec trả lại phí gas khoảng 0,7 ETH mà kẻ này đã bỏ ra để cố gắng đánh sập Paraspace. Kẻ vòi tiền viết:
“Tôi không thể hoàn thành giao dịch vì một lỗi tính gas đần độn. Tôi đã mất rất nhiều tiền cho vụ này, sẽ thật tuyệt nếu được lấy lại một số … chúc may mắn.”
Song đây không phải là lần đầu tiên BlockSec báo động hay bảo vệ các dự án. BlockSec từng giải cứu 3,8 triệu USD từ hacker Saddle Finance vào tháng 04/2022 và thu hồi thành công 2,4 triệu USD từ tin tặc Platypus Finance.
Coin68 tổng hợp
Có thể bạn quan tâm:
