Đã có khoảng 2.32 tỷ USD bị đánh cắp từ nhiều giao thức từ đầu 2022 cho đến nay. Đây có thể được sử dụng như một mô tả chính xác về tình trạng hack trong DeFi ở thời điểm hiện tại.
Được cho là đã bắt đầu với sự ra mắt của Bitcoin (BTC) vào năm 2009, DeFi thực sự đã thành công vào năm 2020 với việc ra mắt chiến lược đầu tư được gọi là “yield farming” (canh tác lợi nhuận) của Compound Finance.
Hiện nay, hàng nghìn ứng dụng phi tập trung hay còn gọi là Dapp đang được sử dụng. DeFiLlama, có hơn 53.73 tỷ USD tổng giá trị bị khóa trong DeFi. Con số này quá hấp dẫn và đã thu hút sự chú ý của các tác nhân không mong muốn – hacker.
Các phương thức tấn công trong DeFi
Như chúng ta đã biết, DeFi có đặc thù là phi tập trung và tập trung vào quyền riêng tư. Tuy nhiên, vì không được kiểm soát nên nó cũng chứa đựng những rủi ro lớn.
Theo công ty bảo mật blockchain PeckShield, từ đầu 2022 cho đến này các tin tặc đã ăn cắp hơn 2.32 tỷ USD với hơn 135 lần tấn công vào DeFi. Con số này cao hơn 50% so với những gì đã bị đánh cắp từ toàn bộ ngành công nghiệp tiền điện tử trong cả năm 2021.
Trong những năm qua, những hacker đã sử dụng nhiều chiến thuật khác nhau để thực hiện công việc của chúng. Cơ sở dữ liệu REKT cho biết các phương pháp tấn công được sử dụng nhiều nhất bao gồm honeypot, exit scam, exploit, access control, và flash loan. Dưới đây là top 10 vụ tấn công DeFi lớn nhất trong năm 2022 cho đến nay, do PeckShield thống kê.
#PeckShieldAlert Wintermute has lost ~$160M, making it come to #5 on our 2022 DeFi exploit leaderboard
In this incident, exploiters immediately put the most stables into 3CRV pool to avoid blacklisting, while ~50% of Top 10 exploiters transferred to Mixer before Tornado sanction pic.twitter.com/RxMPOIypSz— PeckShieldAlert (@PeckShieldAlert) September 21, 2022
Ronin network: 620 triệu USD
Ronin network, sidechain dựa trên Ethereum cho trò chơi tiền điện tử Axie Infinity, vào tháng 3 đã bị tấn công và lấy đi hơn 620 triệu USD bằng ETH và USDC. Kẻ tấn công đã “sử dụng các khóa riêng bị tấn công để thực hiện việc rút tiền” từ hợp đồng cầu nối Ronin trong 2 giao dịch.
Vụ khai thác xảy ra vào ngày 23/3, chỉ được phát hiện một tuần sau đó khi một người dùng không rút được 5,000 ETH. Tổng cộng, hacker đã kiếm được 173,600 ETH và 25.5 triệu USDC, trị giá hơn 620 triệu USD vào thời điểm đó.
Vụ hack mạng Ronin được coi là vụ hack DeFi lớn nhất trong lịch sử. PeckShield nói rằng nó vẫn là lớn nhất từ đầu 2022 cho đến nay.
Cầu Wormhole: 320 triệu USD
Vào ngày 2/2, một kẻ tấn công đã bòn rút hơn 320 triệu USD bằng wETH ra khỏi giao thức Wormhole, một cầu nối tiền điện tử xuyên chuỗi phổ biến giữa Solana, Ethereum, Avalanche và những blockchain khác.
Công ty phân tích Elliptic cho rằng vụ tấn công này là do Wormhole không xác thực được tài khoản “người giám hộ”. Điều này đã cho phép kẻ tấn công kiếm được 120,000 WETH mà không có ETH nào được staking vào. Sau đó, hacker đã đổi 93,750 wETH lấy ETH và đổi phần còn lại lấy SOL. Tổng giá trị thiệt hại vào thời điểm đó khoảng hơn 320 triệu USD.
Cầu nối Nomad: 190 triệu USD
Vào ngày 2/8, tin tặc đã rút khoảng 190 triệu USD tiền điện tử từ Nomad cross-chain bridge, một công cụ cho phép người dùng hoán đổi mã thông báo từ chuỗi khối này sang chuỗi khối khác.
Cuộc tấn công bắt đầu bằng việc nâng cấp mã của Nomad. Một phần của hợp đồng thông minh được đánh dấu là hợp lệ mỗi khi người dùng thực hiện giao dịch. Điều này cho phép những kẻ xấu rút nhiều tài sản hơn số tài sản đã được gửi vào nền tảng. Các tin tặc đã lặp lại quá trình này cho đến khi 190 triệu USD tiền điện tử được chuyển ra khỏi cầu nối này. Đến khi Nomad phát hiện ra thì mọi chuyện đã quá muộn.
Beanstalk Farms: 182 triệu USD
Vào tháng 4, một kẻ tấn công đã rút 182 triệu USD tiền điện tử từ Beanstalk Farms, một giao thức DeFi nhằm mục đích cân bằng cung và cầu của các tài sản tiền điện tử khác nhau.
PeckShield cho biết kẻ tấn công đã khai thác hệ thống quản lý phiếu bầu theo đa số của Beanstalk và tự bỏ phiếu để gửi cho mình 182 triệu USD. Công ty cho biết kẻ tấn công đã sử dụng một khoản vay nhanh – flash loan để có được cổ phần kiểm soát trong giao thức. Tuy nhiên, “thành quả” thực tế của vụ hack này chỉ ở mức 80 triệu USD.
Wintermute: 160 triệu USD
Wintermute là giao thức DeFi mới nhất trở thành nạn nhân của tin tặc. 160 triệu USD từ mảng tài chính phi tập trung của nền tảng đã không cánh mà bay. Giám đốc điều hành Evgeny Gaevoy cho biết vụ tấn công này có liên quan đến một lỗi nghiêm trọng trong công cụ tạo địa chỉ của Ethereum.
Ông cho biết Wintermute đã sử dụng công cụ này để tạo một địa chỉ duy nhất nhằm cắt giảm chi phí giao dịch. Lỗi của con người dường như là nguyên nhân đằng sau cuộc tấn công cụ thể này.
Elrond: 113 triệu USD
Vào tháng 6, tin tặc đã khai thác lỗ hổng trên sàn giao dịch phi tập trung Maiar để đánh cắp khoảng 1.65 triệu Elrond (EGLD), mã thông báo gốc của blockchain Elrond. Các nhà nghiên cứu cho biết kẻ tấn công đã triển khai một hợp đồng thông minh và sử dụng 3 ví để đánh cắp lượng EGLD trị giá ước tính 113 triệu USD từ sàn giao dịch.
Các tin tặc đã ngay lập tức bán 800,000 mã thông báo với giá 54 triệu USD trên cùng một DEX và phần còn lại được bán trên các sàn giao dịch tập trung hoặc đổi lấy ETH.
Cầu Horizon: 100 triệu USD
Chỉ vài ngày sau vụ khai thác Elrond, vào ngày 23/6, tin tặc lại tấn công cầu Horizon với số tiền gần 100 triệu USD. Horizon là một nền tảng tương tác chuỗi giữa các mạng blockchain Ethereum, Binance Smart Chain và Harmony.
PeckShield tiết lộ hơn 98 triệu USD các mã thông báo khác nhau đã được rút hết khỏi nền tảng do Harmony quản lý và được đổi sang ETH. Hơn 50,000 ví của người dùng đã bị ảnh hưởng. Các tin tặc sau đó đã rửa 35 triệu USD thông qua Tornado Cash.
Qubit Finance: 80 triệu USD
Qubit cho biết vào ngày 28/1 rằng nó đã bị tấn công bởi một hacker và bị đánh cắp 206,809 BNB từ giao thức QBridge của nó. Tổng cộng, các mã thông báo được định giá là 80 triệu USD.
Theo công ty bảo mật Certik, kẻ tấn công đã tận dụng tùy chọn ký quỹ trong hợp đồng QBridge để đúc 77,162 qXETH – một số loại tiền điện tử được sử dụng để đại diện cho Ethereum được bắc cầu qua Qubit. Kẻ tấn công đã đánh lừa nền tảng khiến họ tin rằng mình đã staking. Sau khi lặp lại quy trình nhiều lần, hacker đã đổi tài sản thành BNB và biến mất.
Cashio: 48 triệu USD
Cashio, một giao thức stablecoin trên Solana, đã gặp phải vấn đề mà nhóm nghiên cứu gọi là khai thác “infinite mint glitch” vào tháng 3. Các tin tặc đã bòn rút 48 triệu USD từ giao thức, dẫn đến sự sụp đổ của stablecoin CASH của Cashio.
Cashio cho phép người dùng tạo stablecoin CASH với tất cả các khoản tiền gửi được hỗ trợ bởi mã thông báo của nhà cung cấp thanh khoản chịu lãi suất. Kẻ tấn công đã đào hàng tỷ CASH và đổi chúng lấy USDC và UST, bản thân đồng tiền cũng đã sụp đổ sau đó, trước khi rút tiền thông qua DEX Sabre.
CASH được chốt bằng USD đã giảm xuống còn 0 USD sau vụ hack. Kẻ tấn công đã trả lại tiền cho các tài khoản có ít hơn 100,000 USD và hứa sẽ quyên góp phần còn lại cho tổ chức từ thiện.
Scream: 38 triệu USD
Nền tảng cho vay dựa trên Fantom Scream có lẽ là một trong những vụ khai thác bất cẩn nhất trong DeFi năm nay, từ góc độ bảo mật giao thức. Scream gánh khoản nợ 38 triệu USD sau khi stablecoin Fantom USD (fUSD) và DEI, vốn được định giá là 1 USD, bị mất chốt.
Vì giao thức đã mã hóa cứng giá trị của 2 stablecoin nên sự sụt giảm giá trị của tài sản không hiển thị trên Scream. Các cá voi đã tận dụng lỗ hổng này để rút cạn các loại stablecoin còn giá trị trong khi gửi vào fUSD và DEI bị mất chốt.
Tổng cộng 38 triệu USD stablecoin FRAX, USDT, USDC và MIM đã được chuyển khỏi mạng lưới. Sau sự cố, Scream đã bị bán phá giá và chuyển sang sử dụng Chainlink để có dữ liệu định giá theo thời gian thực.
Chuyện gì đã xảy ra với số tiền hàng tỷ USD bị đánh cắp?
Phần lớn chúng sẽ bị mất vĩnh viễn. PeckShield cho biết khoảng 50%, tương đương 1.16 tỷ USD, số tiền bị đánh cắp từ các giao thức trên đã được rửa qua Tornado Cash, máy trộn tiền điện tử dựa trên Ethereum bị Chính phủ Hoa Kỳ trừng phạt vào tháng 8, gây ra phản ứng mạnh mẽ từ cộng đồng tiền điện tử.
Trong khi tin tặc biến mất với hàng tỷ USD, các giao thức DeFi bị ảnh hưởng đã thực hiện một loạt nỗ lực để lấy lại tiền của họ, nhưng không thành công. Một cách thường dùng là cầu xin kẻ tấn công trả lại chiến lợi phẩm để đổi lấy một phần tiền thưởng nhỏ hơn.
Qubit Finance đã thử điều đó và đưa ra khoản tiền thưởng 2 triệu USD. Tuy nhiên lời đề nghị đã không được chấp nhận. Harmony cũng hành động tương tự. Nó đưa ra một khoản tiền thưởng 1 triệu USD để yêu cầu hacker trả lại 100 triệu USD bị đánh cắp từ cầu Horizon và hứa sẽ không đưa ra cáo buộc hình sự. Tin tặc đã phớt lờ đề nghị này và không có số tiền nào được phục hồi.
Tuy nhiên, một chiến lược tương tự đã có hiệu quả với Poly network vào tháng 8/2021, với việc kẻ tấn công trả lại phần lớn số tiền 600 triệu USD mà chúng đã đánh cắp. May mắn đó cũng đến với Ronin. Đầu tháng này, mạng đã thu hồi được 30 triệu USD số tiền bị mất, với sự trợ giúp từ công ty bảo mật tiền điện tử Chainalysis, Bộ Tài chính Hoa Kỳ và FBI. Nhưng đó chỉ là 5% trong số 620 triệu USD bị đánh cắp trong quá trình hack. FBI ước tính rằng khoảng 455 triệu USD đã được rửa qua Tornado Cash bởi Lazarus Group.
Các tin tặc của cầu Nomad cũng đã gửi lại 9 triệu USD cho nền tảng này 1 ngày sau khi cây cầu xuyên chuỗi bị tấn công. Với khoản tiền thưởng 10% trên bất kỳ khoản tiền nào được trả lại, các hacker mũ trắng đã trả lại một phần cho dự án. Phần còn lại đã bị hacker xáo trộn giữa các địa chỉ khác nhau.
Wormhole không bao giờ thu hồi được 320 triệu USD tuy nhiên nền tảng đã được giải cứu. Jump Trading Group đã bù vào 120,000 ETH bị đánh cắp, sau khi lỗ hổng bảo mật đã được vá.
Làm thế nào để không bị hack?
Rõ ràng, các cầu nối blockchain dường như là liên kết yếu nhất trong DeFi. Những vẫn có nhiều cách để các cá nhân và giao thức được an toàn. Alex Belets, người sáng lập công ty bảo mật blockchain Smart State, nói với BeInCrypto:
- Cần phải soạn thảo các điều khoản tham chiếu rõ ràng khi phát triển các dự án, bao gồm các chức năng của dự án bằng các thử nghiệm càng nhiều càng tốt.
- Sử dụng máy quét lỗ hổng bảo mật tự động, không cố gắng triển khai những thứ có thư viện.
- Thực hiện kiểm tra và giữ an toàn cho các khóa riêng tư của bạn.
- Không sử dụng các ứng dụng của bên thứ ba như Profanity để tạo khóa cá nhân (lý do hack của Wintermute).
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
