Trong sáng nay (16/07), ThorChain – một dự án đáng chú ý trong mảng cross-chain vừa bị tấn công, với mức thiệt hại 7,8 triệu USD. Cụ thể vụ việc này ra sao và lí do của vụ tấn công trên là gì, hãy cùng tìm hiểu trong bài viết dưới đây nhé!!!
Mới đây, dự án đã đăng tải dòng tweet đính chính, rằng vụ tấn công mới đây chỉ gây thiệt hại khoảng 4000 ETH (xấp xỉ 7,8 triệu), thay vì con số 13000 ETH được lan truyền trên mạng xã hội Twitter:
At this stage the estimate is around ~4000 ETH worth of assets (ETH/ERC20) was taken, not 13k ETH.
More detailed assessment and recovery steps will be announced soon.
The users who suffered (LPs) will be made whole in the coming weeks. https://t.co/LR2x8VZ2kx
— THORChain #ACTIVATETHESYNTHS⚡️ (@THORChain) July 15, 2021
Vấn đề cụ thể là gì?
Theo một vài phân tích ban đầu do dự án cung cấp, ETH Bifrost đã có một bản nâng cấp, cho phép router có thể được wrap bởi các smart contract. Hacker từ đó sử dụng vài thủ thuật để đánh lừa Bifrost bằng cách sử dụng một hợp đồng wrapper.
Chú thích: Bifrost là một phần mềm trung gian, hỗ trợ triển khai các sản phẩm cross-chain.
Initial Assessment.
1) ETH Bifrost was recently updated to allow the router to be “wrapped” by contracts (to allow composability)https://t.co/GXclWbPgP2
2) The attacker then tricked the Bifrost by using a custom wrapper contract, when they actually transferred 0 ETH https://t.co/TlcNkO9PMj— THORChain #ACTIVATETHESYNTHS⚡️ (@THORChain) July 16, 2021
Chính vì thủ thuật này, Bifrost tưởng nhầm rằng các hacker đã gửi vào 200ETH, nhưng thật ra con số lại là 0.
Kế hoạch xử lý vấn đề
Hiện tại, ThorChain chưa đăng tải bài viết “post-mortem” để giải thích chi tiết cũng như công bố cách giải quyết cụ thể. Song, phía dự án cũng đã đăng tải dòng tweet giúp khái quát hoá hướng đi tiếp theo:
. Triển khai hoạt động lại mạng lưới
. Chuyển tiền lại vào pool ETH để có thể bù đắp thiệt hại trong pool
. Triển khai cơ chế “auto-solvency checker” – Cơ chế mà theo dự án cho biết, nếu được ứng dụng thì thiệt hại từ vụ việc lần này chỉ là 100-200 ETH thay vì con số 4000 ETH như hiện tại.
. Làm việc với các công ty audit để rà soát lại lỗ hổng.
Các dự án cross-chain liên tục là đích nhắm của các hacker
Đây không phải là lần đầu tiên ThorChain bị các hacker nhòm ngó. Trong tháng trước, 140.000 USD là con số thiệt hại khi dự án gặp lỗ hổng trong lúc triển khai hoạt động trên mạng lưới Chaosnet.
Trước đó, những cái tên đáng chú ý trong mảng cross-chain như AnySwap V3 hay ChainSwap cũng là đích nhắm của nhiều hacker. Tuy phương thức tấn công và lỗ hổng của mỗi dự án là khác nhau, song điều này cũng không khỏi khiến nhiều nhà đầu tư quan tâm đến mảng cross-chain này phải lo lắng.
Coin68 tổng hợp
Có thể bạn quan tâm:
