Đội ngũ Sturdy Finance đã gửi tin nhắn cho kẻ tấn công đề nghị số tiền thưởng 100.000 USD nếu trả lại số 442 ETH đã bị lấy cắp vào hôm trước.
Sturdy Finance “hứa” thưởng 100.000 USD nếu hacker trả lại tiền
Sturdy Finance bị tấn công 1 ngày trước đó
Rạng sáng ngày 13/06/2023, Sam Forman, người sáng lập dự án Sturdy Finance đã đăng tải đoạn tweet tuyên bố treo thưởng cho hacker nếu trả lại toàn bộ tài sản ETH đã hack 1 ngày trước đó.
Cụ thể, Forman cho biết đội ngũ của ông đã gửi một đoạn tin nhắn on-chain đến địa chỉ ví của hacker với hàm ý “ân xá” không có cáo buộc hình sự cho kẻ tấn công:
We've sent the following message to the Sturdy hacker on-chain:
— Sam Forman (@pgpsam) June 12, 2023
"To the exploiter: as we have seen with recent hacks, exploits are not as easy to escape from as they used to be. That said, we are willing to offer you $100k as a bounty, and will not pursue you further if you send…
“Chúng tôi sẵn sàng trao 100.000 USD tiền thưởng và sẽ ngừng theo dõi bạn nếu bạn gửi số tiền còn lại vào địa chỉ ví...
Bạn cũng có thể liên hệ với chúng tôi tại sturdyfi@protonmail.com nếu có thiện chí trao đổi."
Hành động treo thưởng này tiếp diễn sau khi giao thức cho vay Sturdy Finance bị exploit do một lỗ hổng tái nhập (reentrancy attack), lặp đi lặp lại lệnh rút tiền trước khi oracle cập nhật đúng số dư. Hacker đã lợi dụng chúng để rút trót lọt 442 ETH ra khỏi nền tảng, tương đương 800.000 USD.
Phía Sturdy Finance cũng đã nhanh chóng phản ứng với vụ việc, cho dừng tất cả dịch vụ của mình nhằm ngăn chặn những mất mát tiềm tàng. Nền tảng cho vay đồng thời cam đoan số tiền còn lại của người vẫn an toàn.
Các vụ tấn công thời gian gần đây
Việc các giao thức DeFi bị hack đã không còn quá mới mẻ trong thị trường crypto. Dù có báo cáo cho biết các vụ tấn công giảm mạnh so với những năm trước, cộng đồng vẫn chứng kiến nhiều vụ exploit trong thời gian qua.
Chỉ trong tháng 05/2023, đã có tới 4 vụ hack các giao thức DeFi:
- Ngay ngày đầu tiên của tháng 5, nền tảng DeFi 0VIX bị tấn công flash loan, mất gần 2 triệu USD;
- Sáng ngày 06/05, stablecoin DEI của DEUS Finance - một nền tảng phái sinh xây dựng trên Fantom - đã bị tấn công gây thất thoát 1,3 triệu USD trên BNB Chain và hơn 5 triệu USD trên Arbitrum. Đây là lần thứ 3 DEUS bị hack, với 2 lần hack trước đó gây thiệt hại lần lượt là 3 triệu USD và 13,4 triệu USD.
- Ngày 21/05, quyền quản trị của Tornado Cash đã bị tấn công thông qua một đề xuất độc hại, thực hiện rút 483.000 TORN từ vault quản trị và bán xả ra thị trường khiến giá TORN giảm sâu; 5 ngày sau, kẻ tấn công này tiếp tục bòn rút 38.000 TORN từ kho bạc;
- Ngày 28/05, giao thức thanh khoản hệ Arbitrum là Jimbos Protocol bị tấn công, thất thoát 7,5 triệu USD khi “tuổi đời dự án” còn chưa đầy 20 ngày tuổi, khiến giá token JIMBO đã giảm 40%.
Rủi ro mất mát tài sản không chỉ gặp phải khi sử dụng các giao thức DeFi, mà còn có thể diễn ra trên ví cứng được các nhà sản xuất “quảng bá” là gần như “an toàn tuyệt đối”, khi được xem như một chiếc két sắt bất xâm phạm vì được thiết kế tách biệt ra khỏi mạng on-chain.
Cuộc thử nghiệm mới đây của đơn vị bảo mật Unciphered cho thấy ví cứng Trezer T vẫn có lỗ hổng và hoàn toàn có thể bị hack thông qua việc sở hữu vật lý.
Hãng ví lạnh phổ biến khác là Ledger cũng đang bị nghi vấn có “cửa hậu" khi mập mờ về chuyện lưu trữ seed phrase người dùng từ trước, nhưng đến khi phát triển tính năng social recovery thì người dùng mới phát hiện điểm đáng ngờ.
Vụ lùm xùm của các hãng ví uy tín nói trên thời gian gần đây cùng với phát hiện của Unciphered dự sẽ làm giảm trầm trọng niềm tin của người dùng vào loại ví này.
Coin68 tổng hợp