Đã có đến 3 vụ tấn công DeFi theo phương thức flash loan diễn ra trong ngày 15/03, nhắm vào ba dự án là Deus Finance, Agave và Hundred Finance.
Đầu giờ chiều ngày 15/03, giao thức Deus Finance (DEUS/DEI) đã bị tấn công flash loan trên mạng lưới Fantom, dẫn đến thiệt hại khoảng 3 triệu USD.
Theo hãng bảo mật PeckShield, kẻ tấn công đã sử dụng cơ chế flash loan để rút tiền từ hợp đồng lending stablecoin của dự án. Sau khi vay một lượng lớn tiền bằng flash loan, kẻ tấn công đã sử dụng nó để thao túng giá trị của cặp giao dịch USDC/DEI trên Deus và kiếm lời từ sự chênh lệch giá.
Nhờ đó, kẻ tấn công đã rút thành công 1.100 ETH và 200.000 DAI từ Deus, trị giá khoảng 3 triệu USD, và rửa số tiền này qua máy trộn giao dịch Tornado Cash.
DEUS official post-mortem from @lafachief has been published.
A special shoutout to our community for their continued support ?https://t.co/wxH3mjOLfR
— DEUS Finance DAO (@DeusDao) March 15, 2022
Đội ngũ Deus Finance sau đó xác nhận dự án đã bị tấn công, cam kết sẽ bồi thường toàn bộ cho những người dùng bị thiệt hại vì hành vi thao túng giá trên.
Đến tối ngày 15/03, cộng đồng DeFi tiếp tục đón nhận tin không vui khi hai dự án lending trên Gnosis Chain là Agave (AGVE) và Hundred Finance (HND) cũng bị tấn công theo phương thức flash loan tương tự.
>>Xem thêm: Defi token là gì?
Đầu tiên, kẻ tấn công đã lợi dụng lỗ hổng reentrancy trên cả Agave và Hundred để “lừa” hợp đồng thông minh của hai dự án tiến hành tương tác với hợp đồng chứa lệnh tấn công. Hắn sau đó tiếp tục dùng flash loan để kiếm tiền vay một lượng lớn coin từ hai dự án, trước khi trả nợ flash loan và giữ lại phần tiền dư.
Contracts have been paused until we figure out how to resolve the situation.
— Agave (@Agave_lending) March 15, 2022
Unfortunately Hundred and Agave have both been exploited on Gnosis chain today. Gnosis team is aware, investigation is ongoing.
All the Hundred markets on all chains paused for now.
These are the two transactions:
Hundred https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4— Hundred Finance (@HundredFinance) March 15, 2022
Theo thống kê, thiệt hại tổng cộng của Agave và Hundred sau vụ việc trên là khoảng 11 triệu USD. Cả hai dự án hiện đã dừng mọi hoạt động để tiến hành điều tra và khắc phục lỗ hổng, song chưa thông báo sẽ bồi thường cho người dùng hay không.
Flash loan từ lâu đã là “con dao hai lưỡi” ám ảnh ngành DeFi. Một mặt, nó giúp người dùng dễ dàng tiếp cận đến một lượng thanh khoản dồi dào để tham gia các giao thức, miễn là khoản vay phải được hoàn trả trong cùng block giao dịch. Mặt khác, nó mở ra cơ hội để kẻ xấu lợi dụng để bòn rút tiền từ các dự án có lỗ hổng smart contract như các trường hợp nêu trên.
Trong quá khứ, flash loan đã bị sử dụng để gây thiệt hại nặng nề cho Cream Finance, dự án đã bị bòn rút đến 130 triệu USD vào tháng 10/2021.
Coin68 tổng hợp
Có thể bạn quan tâm:
