Zabu Finance, một giao thức tài chính phi tập trung (DeFi Protocol) xây dựng trên nền tảng blockchain Avalanche, được ghi nhận là đã bị tấn công dẫn đến thất thoát 3,2 triệu USD. Đồng thời, đây cũng được xem là vụ hack lớn đầu tiên trong hệ sinh thái Avalanche (AVAX).
Zabu Finance bị hack – Vụ thất thoát lớn đầu tiên trên hệ sinh thái AVAX
Cụ thể, vào ngày 12/09, trang twitter DeFiPrime thông báo rằng dự án Zabu Finance đã “thất thoát” 3,2 triệu USD trong một vụ hack lớn đầu tiên trên blockchain Avalanche (AVAX). Chi tiết giá trị tổn thất được DeFiPrime tổng hợp như sau:
⚠️ @zabufinance $ZABU exploited ⚠️
Probably it is the first big exploit on #avalanche?
About $3.2M stolen:$WETH: 402.9$WAVAX: 23,157$PNG: 21,501$AVE: 106,848$USDT:361,267$JOE:23,958.93
— defiprime (@defiprime) September 12, 2021
Về phía Zabu Finance, dự án cũng nhanh chóng thông báo đến cộng đồng sau khi vụ hack diễn ra cũng như đưa ra một số lời giải thích. Đội ngũ dự án cho biết rằng các khoản tiền có thể bị đánh cắp khỏi “Spore Pool” của họ. Đồng thời, họ cũng khẳng định rằng vẫn chưa bán bất kỳ ZABU nào.
We’ve been exploited today. What happened?
Everything was from a Pool of $SPORE Token -> https://t.co/D12H7uB5pD
Spore has Transfer Tax so that the attacker used the same mechanism with attacks explained on https://t.co/vXkCKPKBIz and https://t.co/SZiss6IC3R)
— Zabu Finance ? (@zabufinance) September 12, 2021
Zabu Team Wallet has not sold a single Zabu. We’re under an exploit, possibly from Spore Pool. We’re investigating the exploit. Need help @pangolindex @traderjoe_xyz @avalancheavax pic.twitter.com/lKysK87InM
— Zabu Finance ? (@zabufinance) September 11, 2021
“Ví của đội ngũ Zabu chưa bán một đồng ZABU nào. Chúng tôi đang bị lợi dụng, có thể là từ Spore Pool. Chúng tôi đang điều tra vụ việc này và cần giúp đỡ từ Pangolin, Trader Joe, và Avalanche”
Zabu Finance cho rằng những kẻ tấn công đã khai thác cơ chế “thuế chuyển nhượng” của giao thức để đúc các token dẫn đến việc giá sụp đổ nhanh chóng. Theo đó, kẻ tấn công đã thao túng một lỗ hổng trong hợp đồng được sử dụng bởi các “yield farm” để phân phối phần thưởng. Công ty bảo mật PeckShield cũng nhận xét rằng một số lỗi tương tự đã xảy ra nhiều lần trước đây.
Chụp ảnh nhanh để khắc phục và vẫn tiếp tục ra mắt V2
Zabu Finance giải thích rằng kẻ tấn công đã tương tác với hợp đồng để xóa 4,5 tỷ token ZABU để tích lũy token của nhà cung cấp thanh khoản trong các “yield farm” khác trên Avalanche hay các sàn DEX như Pangolin và Trader Joe. Sau đó, chúng đã được bán khi hacker thực hiện chiến lợi phẩm.
Zabu đặt phần thưởng về 0 để người dùng có thể rút tiền sau khi nhận ra rằng các “Farm Zabu” đã bị tấn công. Về cách khắc phục, đội ngũ hiện có kế hoạch chụp ảnh nhanh (snapshot) từ trước khi diễn ra vụ hack để bắt đầu bồi thường. Ngoài ra, họ cũng đang tìm kiếm một số giải pháp khác
Nhóm nghiên cứu hiện có kế hoạch chụp ảnh nhanh từ trước vụ hack nhưng cũng tìm kiếm giải pháp cho những thứ đã mua sau vụ khai thác. Đội ngũ sẽ phân phối token ZABU v2 cho những người bị ảnh hưởng và khởi động “farm mới dưới dạng V2” cho “staking pool ZABU v1” của những người đã đăng ký sau vụ hack.
In that way, people who lost money pre-hack will get distributed the tokens, and continue to support the protocol if they want.
For the late buyer (post-hack), they can also participate in the Farm V2 by staking what they’ve bought in a Zabu V1 Staking Pool.
— Zabu Finance ? (@zabufinance) September 12, 2021
“Theo cách đó, những người bị mất tiền trước khi hack sẽ được phân phối token và tiếp tục hỗ trợ giao thức nếu họ muốn. Đối với người mua muộn (sau khi hack), họ cũng có thể tham gia vào Farm V2 bằng cách staking những gì họ đã mua trong staking pool của Zabu V1. ”
Giá ZABU giảm đáng kể
Việc loại bỏ quá nhiều token ZABU đã khiến giá của đồng tiền mã hoá này “sụp đổ” về 0 (hoặc gần bằng 0). Trước đó đó một ngày, ZABU vẫn còn được giao dịch ở mức 0,004 USD, nhưng sau khi diễn ra vụ tấn công, giá đã rơi về mức 0,00002 USD, tức mất gần 100% giá trị.
Zabu Finance là dự án mới nhất trong danh sách dài các giao thức DeFi bị nghi ngờ về việc “bị hack” trong năm 2021. Theo cơ sở dữ liệu REKT của DeFiYield, 1,6 tỷ USD đã bị mất do các vụ hack, lừa đảo, và rug pull trong vòng 5 năm qua.
Coin68 tổng hợp
Có thể bạn quan tâm:
