Vụ hack DeFi gây thiệt hại 90 triệu USD trên Terra

Vụ hack DeFi gây thiệt hại 90 triệu USD trên Terra
MEXC

Vụ hack DeFi gây thiệt hại 90 triệu USD trên Terra đã xảy ra trong bảy tháng qua mà không bị phát hiện.

Vào tháng 10 năm 2021, ứng dụng Mirror Protocol của DeFi không thể chống lại cuộc tấn công gây thiệt hại 90 triệu USD trên blockchain Terra cũ – và vụ việc hoàn toàn không được chú ý cho đến tuần vừa qua.

Giao thức Mirror cho phép người dùng nắm giữ các vị thế mua hoặc bán trên các cổ phiếu công nghệ bằng cách sử dụng tài sản tổng hợp. Giao thức được xây dựng trên nền tảng Terra. (Blockchain hiện đã được hồi sinh với tên Terra 2.0, trong khi blockchain ban đầu có tên Terra Classic).

Vụ tấn công được phát hiện bởi một thành viên của cộng đồng Terra và là nhà phân tích có tên “FatMan”. Anh ấy là một trong những người phản đối mạnh mẽ nhất lần ra mắt blockchain Terra mới đây.

Công ty bảo mật BlockSec đã chứng thực những phát hiện của thành viên “FatMan” bằng cách phân tích giao dịch khai thác cụ thể. BlockSec sau đó đã xác nhận rằng vụ hack thật sự đã diễn ra.

Vụ hack DeFi gây thiệt hại 90 triệu USD trên Terra
Vụ hack DeFi gây thiệt hại 90 triệu USD trên Terra

Vụ hack diễn ra như thế nào?

Bất cứ khi nào ai đó muốn đặt cược vào một cổ phiếu trên Mirror, họ phải khóa tài sản thế chấp – bao gồm UST, LUNA Classic (LUNC) và mAssets – trong tối thiểu 14 ngày.

Sau khi giao dịch kết thúc, người dùng có thể mở khóa tài sản thế chấp để rút tiền về ví. Tất cả điều này đã được thực hiện với sự trợ giúp của số ID do hợp đồng thông minh tạo.

Tuy nhiên, do mã lỗi, hợp đồng khóa của Mirror bị cáo buộc không thể kiểm tra khi ai đó sử dụng cùng một ID nhiều lần để rút tiền.

Vào tháng 10 năm 2021, một thực thể không xác định nhận thấy rằng có thể sử dụng danh sách các ID trùng lặp để liên tục mở khóa tài sản thế chấp nhiều hơn hàng trăm lần so với những gì họ có. Về cơ bản, điều này có nghĩa là thủ phạm có thể rút tiền mà không cần bất kỳ ủy quyền nào.

Thực thể này đã tiêu tổng cộng khoảng 90 triệu USD – theo hồ sơ của blockchain.

Vụ việc không được chú ý trong suốt bảy tháng qua

Vụ hack Mirror có thể là một trong những sự kiện hiếm hoi mà mặc dù có sự hiện diện của dữ liệu trên chuỗi, song vụ hack lớn vẫn không được tiết lộ trong một thời gian dài. Thông thường, các dự án thường nhanh chóng báo cáo các sự kiện bảo mật vì mục đích minh bạch.

Theo BlockSec, lỗ hổng bảo mật vẫn chưa được báo cáo vì ít người tìm kiếm lỗ hổng trên Terra hơn so với Ethereum và các mạng tương thích với Ethereum.

Hơn nữa, không có giao diện nào trên trang web Mirror để kiểm tra tổng thể số lượng tài sản thế chấp trong giao thức. Điều này khiến việc phát hiện vấn đề trở nên khó khăn hơn nhiều nếu không sàng lọc một lượng lớn dữ liệu blockchain .

Các nhà phát triển Mirror đã bí mật giải quyết vấn đề vào đầu tháng này, cùng thời điểm đồng stablecoin UST bắt đầu sụp đổ. Theo một cuộc tranh luận quản trị, một tuần sau khi sửa lỗi, các thành viên cộng đồng đã bắt đầu tự hỏi liệu có thể có một vụ hack xảy ra hay không, và không rõ liệu các nhà phát triển của Mirror có biết về việc khai thác hay không.

Tuy nhiên, đây không phải là lần đầu tiên một vụ tấn công không bị phát hiện trong một khoảng thời gian. Vụ tin tặc đánh cắp 600 triệu USD từ sidechain Ronin vào tháng 3 năm 2022, phải mất một tuần thì mới có người nhận ra vụ việc. Cho đến khi người dùng phát hiện ra họ không thể rút tiền thanh toán thì họ mới nhận ra có vấn đề.

Mirror Protocol đang bị SEC điều tra, và vẫn chưa có tuyên bố chính thức về tình hình. Mirror và Terraform Labs vẫn chưa phản hồi yêu cầu bình luận.

Xem thêm: OFAC phạt thêm 3 địa chỉ ETH nằm trong vụ hack Ronin

Mục đích của bài viết chỉ cung cấp thông tin. Bạn đọc nên cân nhắc trước khi đầu tư. 

Nguyễn Linh (Theo TheBlockCrypto)

Theo dõi các kênh thông tin của ApeHub.Net !
Telegram | Facebook | Twitter | ApeHub TV | Instagram

FTX