Vào lúc 5:30 sáng theo giờ UTC ngày 6 tháng 3, một nhà phát triển Meerkat Finance tự nhận mình là “Jamboo” đã đăng một thông báo ngắn trong một kênh Telegram mới được tạo, “Meerkatrefunds”. Trong đó, Jamboo nói rằng vụ sự cố này là một “bài thử nghiệm” về lòng tham và “tính chủ quan” của người dùng, và nhóm phát triển đang chuẩn bị hoàn tiền cho tất cả các nạn nhân.
Jamboo đã cung cấp bằng chứng về mối liên kết của họ với Meerkat bằng cách gửi một giao dịch nhỏ từ người triển khai Meerkat, chứng minh rằng họ có quyền truy cập vào hợp đồng đã khai thác (hoặc giao tiếp với những người có thẩm quyền làm việc đó). Giao dịch đã được xử lý trên mạng Binance Smart Chain khoảng 20 phút sau khi đăng tải trên kênh Telegram của Jamboo.
Meerkat Finance, một tổ hợp canh tác lợi nhuận (yield farming) mới được đưa vào vận hành trên Binance Smart Chain ngày 4 tháng 3, đã tuyên bố trong kênh Telegram chính thức của mình rằng kho hợp đồng thông minh của họ đã bị xâm phạm.
Dự án cho biết đã bị đánh cắp khoảng 13 triệu BUSD và khoảng 73.000 BNB, tổng giá trị hiện tại là 31 triệu USD. Các khoản tiền tiếp tục được chuyển đến nhiều địa chỉ blockchain mới.
- Xem thêm: Dự án DeFi Meerkat trên Binance Smart Chain bị nghi “qua cầu rút ván”, tẩu tán 31 triệu USD
Các thành viên của cộng đồng đã nhanh chóng gắn nhãn sự việc này là một pha “rug pull”, nôm na là “qua cầu rút ván” – một thuật ngữ dùng để chỉ khi người trong cuộc hoặc thành viên của nhóm phát triển trục lợi từ hợp đồng bằng cách sử dụng các quyền chuyên biệt – do hợp đồng người triển khai Meerkat đã được cập nhật để cho phép các quỹ bảo mật đã bị rút cạn ngay trước cuộc tấn công.
Một số người nghĩ rằng sự cố này sẽ là một phép thử đối với tuyên bố của Binance Smart Chain về tính phân quyền. BSC được điều hành bởi một mạng lưới gồm 21 nodes xác nhận, nhiều nút trong số đó được cho là được liên kết hoặc điều hành trực tiếp bởi Binance.
Tương tự như vậy, việc khai thác đã đặt kẻ tấn công vào một tình thế khó khăn: Binance kiểm soát phía sau BSC, có nghĩa là bất kỳ khoản tiền bị đánh cắp nào đều bị khóa trên chuỗi và không thể được tính là lợi nhuận.
Giờ đây, sự chú ý chuyển sang các nhà phát triển Meerkat và lý do của họ. Thông điệp của Jamboo ngắn gọn về các chi tiết cụ thể và chỉ chứa các tham chiếu mơ hồ về những gì đã khiến nhóm phát triển đánh cắp 31 triệu USD từ người dùng. Jamboo đã viết rằng nhóm nghiên cứu “đã mời một bên thứ ba (hacker) tấn công lỗ hổng thông qua hợp đồng ủy quyền xác minh,” và rằng một báo cáo đầy đủ về sự cố này sẽ được phát hành.
Theo Jamboo, vụ trộm này là một minh chứng cho sự hám lợi đang tràn ngập thị trường DeFi.
“DeFi rất cần thiết, nhưng nó có rất nhiều sai sót, và bị lợi dụng bởi lòng tham của con người.”
Coin68 tổng hợp
Có thể bạn quan tâm:
