Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
Điểm lại 13 sự cố hack lớn nhất trong lịch sử DeFi
Unitimes
特邀专栏作者
2022-04-20 02:53
Bài viết này có khoảng 5063 từ, đọc toàn bộ bài viết mất khoảng 8 phút
Đã có 8 sự cố bảo mật DeFi gây thiệt hại hơn 100 triệu USD.

Được viết bởi: Ekin Genç & Stephen Graves

Biên soạn: Gió Nam

Tài chính phi tập trung (DeFi) là các ứng dụng chuỗi khối được thiết kế để loại bỏ người trung gian khỏi các sản phẩm và dịch vụ tài chính như cho vay, tiết kiệm và trao đổi. Mặc dù DeFi mang lại lợi nhuận cao nhưng nó cũng đi kèm với nhiều rủi ro.

Vì hầu hết mọi người đều có thể khởi chạy giao thức DeFi và viết một số hợp đồng thông minh, nên các lỗi trong mã là phổ biến. Trong không gian DeFi, có rất nhiều kẻ vô đạo đức sẵn sàng và có thể khai thác những sơ hở này. Khi điều này xảy ra, hàng triệu đô la trong quỹ sẽ gặp rủi ro và người dùng thường không có quyền truy đòi.

Theo một báo cáo từ Elliptic vào tháng 11 năm ngoái, người dùng DeFi đã mất 10,5 tỷ USD do trộm cắp vào năm 2021. Nhưng con số đó đã tăng lên hàng triệu, vì chúng tôi sẽ liệt kê một số khai thác DeFi lớn nhất bên dưới. (Tất cả các số liệu dưới đây là giá trị của các quỹ tại thời điểm xảy ra vụ tấn công.)

13. Grim Finance: 30 triệu USD

Thông thường, các Dapp (ứng dụng phi tập trung) lấy cảm hứng chủ đề từ các chuỗi khối mà chúng được xây dựng trên đó. Do đó, hệ sinh thái của chuỗi khối Avalanche (Avalanche) có đầy đủ các ứng dụng theo chủ đề “tuyết” như Snowtrace, Blizz và Defrost. Trong khi đó, hệ sinh thái chuỗi khối Fantom giống như một bữa tiệc Halloween trên chuỗi. Điều này thêm một lớp thậm chí còn tối hơn khi có sự cố xảy ra, giống như những gì đã xảy ra với Grim Finance, một giao thức tối ưu hóa lợi nhuận trên chuỗi Fantom.

Vào tháng 12 năm 2021, giao thức Grim Finance đã hứng chịu một cuộc tấn công vào lại, một dạng khai thác trong đó kẻ tấn công giả mạo các khoản tiền gửi bổ sung vào một kho tiền trong khi giao dịch trước đó chưa được giải quyết. Cuối cùng, cuộc tấn công đã dẫn đến việc đánh cắp mã thông báo Fantom trị giá 30 triệu đô la.

Các giao thức DeFi thường sử dụng các bộ bảo vệ vào lại hoặc các đoạn mã ngăn chặn các cuộc tấn công như vậy. Một báo cáo kiểm toán Grim Finance được xuất bản bởi công ty kiểm toán bảo mật blockchain Solidity Finance đã tuyên bố không chính xác rằng giao thức đã sử dụng bảo vệ truy cập lại. Điều này nhắc nhở chúng tôi rằng việc kiểm tra không đảm bảo rằng các lỗ hổng sẽ không xảy ra.

12. Meerkat Finance: 31 triệu USD

Đôi khi, giao thức DeFi không mất nhiều thời gian để hứng chịu cuộc tấn công đầu tiên. Meerkat Finance, một giao thức cho vay dựa trên BSC (Binance Smart Chain), đã mất 31 triệu đô la tiền của người dùng chỉ trong một ngày sau khi ra mắt vào tháng 3 năm 2021.

Kẻ tấn công đã gọi một chức năng trong hợp đồng, biến địa chỉ của kẻ tấn công thành chủ sở hữu hợp đồng vault của nó và lấy đi 13,96 triệu đô la Binance stablecoin BUSD và 73.000 BNB khác (token gốc của Binance), số BNB bị đánh cắp trị giá khoảng 17,4 triệu đô la vào thời điểm đó. thời gian.

Nhiều người dùng tin rằng đây là một hoạt động nội bộ: các nhà phát triển giao thức đã triển khai Rug Pull. Meerkat đã phủ nhận các cáo buộc.

11. Vee Finance: 35 triệu USD

Mùa hè năm 2021 chứng kiến ​​​​sự gia tăng hoạt động trên chuỗi Avalanche, điều này cũng thu hút những người muốn tấn công hệ sinh thái non trẻ của mạng blockchain.

Vào tháng 9 năm 2021, nền tảng cho vay Vee Finance vừa kỷ niệm cột mốc TVL (Tổng khối lượng bị khóa) là 300 triệu đô la và một tuần sau, giao thức này đã hứng chịu cuộc tấn công lỗ hổng lớn nhất vào mạng Avalanche.

Cuộc tấn công xảy ra chủ yếu do chức năng giao dịch đòn bẩy của Vee Finance dựa vào giá mã thông báo do Pangolin, giao thức thanh khoản chính trên Avalanche cung cấp. Để khai thác điều này, những kẻ tấn công đã tạo ra 7 cặp giao dịch trên Pangolin, cung cấp tính thanh khoản và cuối cùng là giao dịch bằng đòn bẩy trên Vee Finance. Điều này cho phép kẻ tấn công hút tiền điện tử trị giá 35 triệu đô la từ giao thức Vee Finance.

Trong một tweet gửi tới “Dear Mr./Madam 0x**95BA” (xem bên dưới), giao thức Vee Finance đã yêu cầu kẻ tấn công trả lại tiền và, như một phần của chương trình tiền thưởng của giao thức, hãy để kẻ tấn công giữ một phần tiền . Nhưng kẻ tấn công không có ý định trả lại tiền.

10. Chú thỏ bánh kếp: 45 triệu USD

Không gian tiền điện tử thường trải qua các xu hướng ngắn nhưng mạnh mẽ. Vào mùa xuân năm 2021, Binance Smart Chain (BSC) (hiện được đổi tên thành BNB Chain) có xu hướng DeFi nóng nhất, đặc biệt là đối với người dùng bán lẻ, do phí mạng thấp của chuỗi.

Nhưng cũng đã có nhiều vụ lừa đảo và hack trên chuỗi BSC, vụ lớn nhất là vụ tấn công vào tháng 5 năm 2021 nhằm vào giao thức canh tác năng suất PancakeBunny.

Một tin tặc đã thao túng thuật toán định giá của PancakeBunny thông qua tám cuộc tấn công cho vay nhanh, làm tăng giá của mã thông báo gốc của giao thức, BUNNY. Đầu tiên, tin tặc mua BUNNY với giá thị trường thấp, sau đó bán nó với giá cao giả tạo, kiếm được khoản lãi 45 triệu đô la.

9. bZx: 55 triệu USD

Vào tháng 11 năm 2021, giao thức cho vay đa chuỗi bZx đã bị tấn công sau khi "khóa riêng tư" của nó bị rò rỉ. Giao thức đã mất tổng cộng 55 triệu đô la trên chuỗi BSC và Polygon.

Nhưng bZx đã từng trải qua nỗi đau tương tự hai lần trước đây.

Mặc dù các cuộc tấn công flash loan hiện đang là một chiến lược tấn công phổ biến trong lĩnh vực DeFi, nhưng bZx là một "OG" (dự án kỳ cựu) về mặt này. Vào tháng 2 năm 2020, giao thức này là mục tiêu của một cuộc tấn công cho vay chớp nhoáng nhắm vào nền tảng giao dịch ký quỹ Fulcrum của nó. Tin tặc đã đánh cắp 1.300 wETH, trị giá 366.000 USD vào thời điểm đó.

Trong một cuộc tấn công khác vào tháng 9 năm 2020, bZx đã mất 30% số tiền bị khóa trong kho của mình, trị giá 8 triệu đô la vào thời điểm đó. Tuy nhiên, người dùng có vị trí ký quỹ mở không bị lỗ vì giao thức sau đó đã nêu trong một báo cáo, tiền được lấy từ quỹ bảo hiểm của bZx.

8. DAO lửng: 120 triệu USD

Các lỗi hợp đồng thông minh không phải lúc nào cũng tiêu tốn của một dự án DeFi hàng triệu đô la.

Vào tháng 12 năm 2021, Badger DAO, cầu nối mang Bitcoin đến DeFi, đã bị lỗ 120 triệu USD. kiểm soát quỹ kho tiền của người dùng và chuyển tiền. Cuộc tấn công đã gây thiệt hại 120,3 triệu USD, bao gồm khoảng 2.100 BTC và 151 ETH.

Công ty bảo mật chuỗi khối PeckShield cho biết các hợp đồng của giao thức được bảo mật và chỉ có giao diện người dùng bị ảnh hưởng.

7. Cream Finance: 130 triệu USD

Giao thức cho vay DeFi Cream Finance đã mất 130 triệu đô la trong một cuộc tấn công cho vay chớp nhoáng vào tháng 10 năm 2021, cuộc tấn công thứ ba vào giao thức này.

Khoản vay chớp nhoáng cho phép bạn nhận khoản vay ngay lập tức, miễn là bạn hoàn trả khoản vay trong cùng một giao dịch. Mặc dù các khoản vay nhanh rất hữu ích cho việc kinh doanh chênh lệch giá, nhưng chúng lại được các tác nhân độc hại sử dụng rộng rãi để khai thác các lỗ hổng trong giao thức DeFi. Trong trường hợp của Cream Finance, những kẻ tấn công khoản vay nhanh có thể khai thác lỗ hổng định giá để liên tục nhận được các khoản vay nhanh từ các địa chỉ Ethereum khác nhau.

Cream Finance cũng đã trải qua các cuộc tấn công cho vay chớp nhoáng trước đó. Vào tháng 8 năm 2021, một tin tặc đã đánh cắp khoảng 25 triệu đô la từ Cream Finance trong một cuộc tấn công cho vay chớp nhoáng khác, chủ yếu nhắm mục tiêu vào mã thông báo gốc AMP của Mạng Flexa. Trong một cuộc tấn công flash loan vào tháng 2 năm 2021, tin tặc đã đánh cắp 37,5 triệu đô la từ nhóm giao thức Cream Finance.

6. Vulcan Forged: 140 triệu USD

Chơi để kiếm tiền (P2E) là một trong những xu hướng mới nhất trong không gian tiền điện tử, nhưng nó vẫn chưa thoát khỏi những trò gian lận và cạm bẫy kiểu cũ — đặc biệt là những trò lợi dụng chức năng tập trung. Vulcan Forged, một nền tảng P2E trên Polygon, đã học được một cách khó khăn rằng người dùng của nó đã mất 140 triệu đô la vào tháng 12 năm 2021.

Theo một báo cáo khám nghiệm tử thi, một hacker đã lấy được thông tin đăng nhập cho Venly, ví người dùng tập trung của nền tảng và do đó đã lấy được khóa riêng của 96 ví được mã hóa. Sau đó, tin tặc đã sử dụng nó để lấy khóa riêng trong MyForge, chức năng danh mục tài sản của nền tảng và cuối cùng đã đánh cắp 4,5 triệu mã thông báo gốc PYR của Vulcan Forged từ người dùng.

Phát biểu trước cộng đồng, Giám đốc điều hành Vulcan Forged Jamie Thomson cho biết: “Tất nhiên, trong tương lai chúng tôi sẽ chỉ sử dụng ví phi tập trung để chúng tôi không bao giờ gặp phải vấn đề này nữa”.

5. Hợp chất: 150 triệu USD

Giống như hầu hết các giao thức DeFi, giao thức cho vay Compound có mã thông báo quản trị, COMP, giao thức này phân phối cho người dùng trong các điều kiện nhất định.

Vào tháng 10 năm 2021, có thông tin cho rằng Compound có một lỗ hổng cho phép người đi vay yêu cầu nhiều hơn so với phần COMP dự kiến ​​của họ. Lỗ hổng này liên quan đến hai kho tiền của Compound (nhóm quỹ). Người dùng có thể gọi một chức năng cụ thể drip() trên một kho tiền của Reservoir, kích hoạt COMP trị giá 80 triệu đô la được gửi đến một kho tiền khác, Bộ điều khiển. Kho tiền đã tự động phân phối một lượng lớn mã thông báo COMP đến sai địa chỉ. "Vòi bị rò rỉ" này là do một lỗi được đưa ra trong bản cập nhật giao thức trước đó.

Nhóm đã vội vàng đưa ra một bản vá sau khi COMP trị giá 80 triệu đô la được gửi đến sai địa chỉ. Nhưng trước khi có thể thực hiện bất kỳ bản sửa lỗi nào, giao thức yêu cầu thông qua đề xuất quản trị. Đề xuất được tạo vào ngày 2 tháng 10 và cuối cùng được chấp nhận vào ngày 9 tháng 10. Trong khi cộng đồng đang tranh cãi, hai kho tiền đã mất thêm 68,8 triệu đô la.

Người sáng lập Compound Robert Leshner đang cố gắng lấy lại tiền của mình như thế nào Gần một nửa số tiền đã được trả lại sau khi anh ấy kêu gọi trên Twitter để “trả lại COMP cho cộng đồng.”

4. Beanstalk: 182 triệu USD

Các khoản vay chớp nhoáng, rất hữu ích nhưng cũng rất nguy hiểm! Chỉ hai ngày sau khi kỷ niệm 150 triệu đô la trong TVL, giao thức stablecoin dựa trên Ethereum Beanstalk đã phát hiện ra 182 triệu đô la đã bị mất trong một cuộc tấn công cho vay chớp nhoáng. Kẻ tấn công đã rửa thành công số ETH trị giá 80 triệu USD thông qua Tornado Cash. Beanstalk được biết đến nhiều nhất với đồng tiền ổn định thuật toán BEAN, được cho là được chốt ở mức 1 đô la. Mặc dù stablecoin đã cố gắng duy trì mức cố định ngay sau cuộc tấn công, nhưng vụ việc cho thấy các stablecoin theo thuật toán chỉ ổn định như các hợp đồng làm nền tảng cho chúng.

3. Lỗ sâu: 326 triệu USD

Khi ngày càng có nhiều DeFi được xây dựng trên các chuỗi khối L1 (lớp một), người dùng ngày càng mong muốn chuyển tiền giữa các chuỗi L1. "Cầu nối chuỗi chéo" giải quyết nhu cầu này, nhưng chúng cũng tạo ra các lỗ hổng mới. Sự kiện xuyên chuỗi gây thiệt hại nặng nề nhất xảy ra vào tháng 1 năm 2022, khi Wormhole cầu xuyên chuỗi phổ biến (kết nối Solana và Ethereum) bị hack, làm mất 320 triệu đô la giá trị bằng ETH. wETH là một loại tiền điện tử được chốt 1:1 với giá của Ethereum.

Khi người dùng sử dụng cầu nối xuyên chuỗi Wormhole, trước tiên họ phải khóa ETH trong hợp đồng thông minh để nhận được lượng wETH tương đương. Tin tặc đã tìm ra cách giải quyết vấn đề này, đúc WETH mà không khóa ETH trong hợp đồng Wormhole.

Jump Trading Group là một trong những bên liên quan trong quá trình phát triển Wormhole và nhóm đã chủ động bổ sung số ETH bị mất của Wormhole. Chỉ một ngày sau, Cầu Wormhole đã trực tuyến trở lại.

2. Cầu Ronin: 552 triệu USD

Trò chơi dựa trên NFT Axie Infinity là một trong những trò chơi tiền điện tử thành công nhất trong năm qua. Vào ngày 23 tháng 3 năm 2022, nó trở thành nạn nhân của một trong những vụ hack lớn nhất trong không gian tiền điện tử, nơi những kẻ tấn công đã sử dụng "khóa cá nhân bị đánh cắp" để chuyển số tiền điện tử trị giá khoảng 552 triệu đô la sangBị đánh cắp từ cầu Ronin

Một tuần sau, khi nhà phát triển Sky Mavis của Axie Infinity tiết lộ vi phạm, giá trị của số tiền bị đánh cắp đã tăng lên 622 triệu USD.

Theo báo cáo của Sky Mavis, những kẻ tấn công "đã tìm thấy một cửa hậu thông qua nút RPC không gas của chúng tôi và sau đó lạm dụng cửa hậu này để lấy chữ ký từ những người xác nhận Axie DAO."

Chuỗi bên Ronin được bảo mật bởi 9 nút xác thực và để xác định sự kiện Gửi tiền hoặc sự kiện Rút tiền, 5 trong số 9 nút xác thực này được yêu cầu ký. Vào ngày 23 tháng 3, những kẻ tấn công đã kiểm soát được 5 trong số các nút này (bao gồm 4 nút do chính Sky Mavis điều hành và 1 nút do Axie DAO điều hành) và các khóa riêng của 5 trình xác thực này đã bị đánh cắp. Điều này cho phép kẻ tấn công giả mạo các giao dịch và lấy đi 173.600 wETH và 25,5 triệu USDC, với tổng số tiền khoảng 622 triệu USD.

Jeff Zirlin, đồng sáng lập Axie Infinity cho biết: "Đây là một trong những vụ hack lớn nhất trong lịch sử. (Kẻ hacker) có khả năng bị phát hiện và đưa ra trước công lý".

1. Mạng Poly: 611 triệu USD

Vụ hack Poly Network vẫn là vụ vi phạm lớn nhất trong không gian tiền điện tử. May mắn thay, câu chuyện bắt đầu vào ngày 10 tháng 8 năm 2021 đã kết thúc với một kết thúc có hậu ba ngày sau đó sau một loạt tình tiết kỳ lạ.

Hành vi trộm cắp bắt đầu khi những kẻ tấn công khai thác lỗ hổng trong "cuộc gọi hợp đồng" của Poly Network. Tin tặc đã nhanh chóng đánh cắp các loại tiền điện tử khác nhau trị giá 611 triệu đô la, khiến Poly Network phải xuất bản một bức thư tuyệt vọng hoàn chỉnh với "Kính gửi hacker".

Nỗ lực giao tiếp này và những nỗ lực tiếp theo cuối cùng đã có hiệu quả. Thỏa thuận đưa ra khoản tiền thưởng 500.000 đô la và cho hacker cơ hội trở thành cố vấn bảo mật chính của nó. Nhưng trong phiên hỏi đáp trực tuyến, kẻ tấn công giải thích rằng cuộc tấn công chỉ nhằm dạy cho Poly Network một bài học. Kẻ tấn công cho biết việc trả lại tiền là "một kế hoạch lâu dài."

Công ty bảo mật tiền điện tử SlowMist cho biết họ đã xác định được thông tin email và IP của kẻ tấn công và cuộc tấn công “có thể là một cuộc tấn công được lên kế hoạch, tổ chức và chuẩn bị lâu dài”.

liên kết nguồn

liên kết nguồn

DeFi
Sự an toàn
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
Quả bom thuế quan của Trump đã phát nổ và thị trường tiền điện tử chuyển sang "chế độ phòng thủ". Thị trường sẽ đi về đâu vào tháng 8?
Các cuộc đàm phán về quy định, mua lại giấy phép, thành lập liên minh: Nhìn lại những động thái gần đây của lãnh đạo RWA Ondo
Các dự án tương tác nổi bật trong tuần này: Nhiệm vụ Galxe mới 0G; Giao dịch tiền thử nghiệm Superp; danh sách chờ vòng tròn
Tóm tắt AI
Trở về đầu trang
Đã có 8 sự cố bảo mật DeFi gây thiệt hại hơn 100 triệu USD.
Thư viện tác giả
Unitimes
Tạp chí Time: Diễn giải chuyên sâu về tầm quan trọng của việc sáp nhập Ethereum
Ethereum Foundation: Thông báo sáp nhập Ethereum Mainnet
Messari: Dưới sự dẫn dắt của OpenSea, thương vụ mua lại Genie của Uniswap sẽ “phá vỡ tình thế” như thế nào?
Bảng xếp hạng bài viết nóng
Daily
Weekly
Khám phá hai nhân vật chính đứng sau sự tăng vọt hiện tại của ETH: Tom Lee và Joseph Rubin
Khám phá hai nhân vật chính đứng sau sự tăng vọt hiện tại của ETH: Tom Lee và Joseph Rubin
Đếm ngược Mainnet, nâng cấp BRC 2.0 thúc đẩy hệ sinh thái BTC, NFT tăng gấp 100 lần trong một tháng | Hệ sinh thái BTC
Chi 500 triệu đô la, YZi Labs, CEA và 140 tổ chức đặt cược vào BNB Treasury
Nỗi ám ảnh mười năm của Ethereum: Lý tưởng, tình thế tiến thoái lưỡng nan và lối thoát khỏi thế giới máy tính
Mô hình kinh tế token của Linea đã được công bố. Định giá hợp lý cho điểm LXP là bao nhiêu?
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android