Value DeFi Protocol, một giao thức tổng hợp lợi suất phi tập trung, vừa bị hacker tấn công và cuỗm đi 5,4 triệu USD dưới dạng token DAI.
Những kẻ tấn công đã lại sử dụng mánh khóe “flash loan” (vay nóng), cụ thể thực hiện 2 khoản vay 80.000 ETH (trị giá 36 triệu USD) từ Aave và 116 triệu USD tiền DAI từ Uniswap. Flash loan là cơ chế cho phép vay nóng tiền mã hóa không cần thế chấp với điều kiện số tiền đó phải được trả lại trong cùng một block giao dịch.
Bọn hacker tiếp đó dùng lượng ETH đã vay để hoán đổi sang một loạt stablecoin, nạp DAI vào ví đa stablecoin của Value DeFi, rồi thực hiện một chuỗi các hoán đổi qua lại để sau cùng kiếm được số tiền lời sau khi đã trả hết các khoản vay ban đầu là 7,4 triệu USD dưới dạng DAI. Chúng trả lại 2 triệu USD tiền USD cho dự án và giữ lại số tiền 5,4 triệu USD.
This is the complex exploit I’ve ever seen. It used 2 FLASHLOANS, one with @AaveAave (80k ETH) and one using flashswap with @UniswapProtocol (116M DAI).
In the image the steps! pic.twitter.com/nTm2SEgsur
— Emiliano Bonassi | emiliano.eth (@emilianobonassi) November 14, 2020
Chưa hết, những kẻ tấn công còn để lại một tin nhắn thách thức đội ngũ Value DeFi, viết: “Các bạn có thật sự hiểu cách flash loan không?”, ám chỉ đến bài đăng Twitter của Value DeFi vào hôm thứ Sáu tuyên bố rằng dự án đã tích hợp các cơ chế ngăn chặn tấn công bằng mánh khóe flash loan.
Phía Value DeFi Protocol sau đó cũng đã xác nhận “gặp phải một vụ tấn công phức tạp, dẫn đến thiệt hại ròng khoảng 6 triệu USD”. Dự án này cho biết thêm: “Chúng tôi đang thực hiện điều tra kỹ lưỡng vụ việc này và nghiên cứu những cách thức để giảm thiểu tác động đến người dùng.”
The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.— Value DeFi Protocol (@value_defi) November 14, 2020
Như vậy, Value DeFi Protocol đã trở thành dự án DeFi mới nhất trở thành nạn nhân của hacker trong năm 2020 này, sau những cái tên trước đó như bZx, dForce, Harvest Finance và Akropolis.
Theo CoinTelegraph
Có thể bạn quan tâm:
