Paid Network bị tấn công, vụ khai thác lỗ hổng lớn nhất DeFi

Paid Network, một nền tảng DeFi nhắm vào các doanh nghiệp trong thế giới thực, đã bị xâm phạm ngày hôm nay trong một cuộc tấn công "đúc tiền vô hạn" khiến giá token PAID giảm xuống 85%.

Mặc dù vụ khai thác đã thu được gần 180 triệu USD của token PAID tại thời điểm xảy ra cuộc tấn công - một con số được xem là vụ khai thác lỗ hổng lớn nhất đối với 1 giao thức DeFi - thì ngày nhận tiền của tin tặc sẽ ít hơn rất nhiều. 

Kẻ tấn công chỉ chuyển đổi một phần PAID đánh cắp được sang WETH

Một nhà quan sát lưu ý rằng ví của kẻ tấn công chỉ chuyển đổi một số token của mình thành ether được bọc (wrapped ether), để phần còn lại ở token PAID đang mất giá nhanh chóng:

"Tổng kết vụ việc của PAID: Tổng số PAID được chuyển đổi thành WETH: 2079.603371141493 = 3.104.887,33 USD; Tổng số PAID còn lại trong tài khoản:  594,717,455.71 = 24.313.147 USD; Tổng số trong tài khoản của kẻ tấn công: 27.418.034,33 USD."

Ví của kẻ tấn công vẫn còn hơn 57 triệu token PAID, trị giá 37 triệu USD.

Việc khai thác về mặt khái niệm tương tự như một cuộc tấn công vào giao thức bảo hiểm Cover diễn ra vào cuối tháng 12 năm ngoái. Trong trường hợp đó, đội ngũ của giao thức này đã sử dụng "ảnh chụp nhanh" của những người nắm giữ trước cuộc tấn công và phát hành một token mới, đưa nguồn cung cấp token trở về ngưỡng trước khi vụ tấn công diễn ra. 

Đội ngũ của PAID đã xác nhận trên Twitter rằng họ hiện đang lên kế hoạch cho ảnh chụp nhanh (snapshot) và khôi phục:

"Chúng tôi đang điều tra vấn đề. Chúng tôi đã kéo lại thanh khoản và đang tạo ra một hợp đồng thông minh mới. Chúng tôi sẽ khôi phục lại số dư ban đầu của mọi người trước vụ tấn công xảy ra. Với những ai đã stake thì token PAID của Lpool và UniFarm sẽ được gửi cho họ bằng cách thủ công."

Đồn đoán của cộng đồng, liệu đây có thực sự là một tấn công lỗ hổng?

Tuy nhiên, những người nắm giữ token lo lắng có thể cách thức xử lý không mang lại kết quả. Một số người trong cộng đồng đang suy đoán rằng cuộc tấn công vào PAID hoàn toàn không phải là một vụ khai thác, mà thay vào đó là một "rugpull" - một thuật ngữ thông tục để chỉ một người trong cuộc thiết kế các hợp đồng để đặc biệt làm cho chúng có thể khai thác và đánh cắp tiền của người dùng.

Nick Chong của Parafi Capital đã lưu ý trên Twitter rằng hợp đồng người triển khai của Paid, một tài khoản được kiểm soát từ bên ngoài, đã chuyển quyền sở hữu của người triển khai cho kẻ tấn công ngay trước khi vụ tấn công diễn ra. Điều đó cho thấy rằng một thành viên của nhóm đã ngừng hỗ trợ đột ngột, hoặc một cách sai lầm cho phép vụ tấn công diễn ra với một lỗi bảo mật:

"Người triển khai của Paid Network, một EOA đã chuyển quyền sở hữu của một hợp đồng cho kẻ tấn công 30 phút trước khi sự việc diễn ra."

Ngoài ra, một tài khoản phân tích rủi ro DeFi @WARONRUGS đã cảnh báo chính xác về việc khai thác này vào cuối tháng 1, lưu ý rằng chủ sở hữu hợp đồng có thể rút các token PAID bất kỳ lúc nào:

(Hình chụp màn hình Twitter của @WARONRUGS)

"Chủ sở hữu có thể rút token và đã chuyển các token đến các ví mới mà chưa bao giờ mua trước khi bán ra. Hợp đồng đang ở phia sau một trung gian. Khả năng mất tất cả tiền là rất cao."

Paid Network bị tấn công, vụ khai thác lỗ hổng lớn nhất DeFi Paid Network bị tấn công, vụ khai thác lỗ hổng lớn nhất DeFi Reviewed by Duy Khiêm on 3/06/2021 Rating: 5

Không có nhận xét nào:

Được tạo bởi Blogger.