Thảm họa DeFi: Vụ hack MonoX và BadgerDAO thiệt hại lên tới 120 triệu đô la
Bởi
Danis
-
03/12/2021
Sàn giao dịch phi tập trung đa chuỗi (DEX) MonoX (MONO) đã bị tấn công mạng vào ngày 30 tháng 11 dẫn đến thiệt hại khoảng 31 triệu đô la. BadgerDAO (BADGER) đã phải chịu một cuộc tấn công front-end được phát hiện vào ngày 2 tháng 12 với ước tính thiệt hại của Badger lên tới hơn 120 triệu đô la.
Nền tảng MonoX DEX đã phải chịu một cuộc tấn công duy nhất vào ngày 30 tháng 11. Trong cuộc tấn công này, một lỗi trong hợp đồng thông minh cho phép tồn tại sự khác biệt giữa giá tài sản, khi thay đổi thủ công.
Rekt News giải thích rằng tin tặc có thể thổi phồng giá của MONO thông qua hợp đồng thông minh, sau đó mua các tài sản khác từ giao thức với MONO.
“Hacker đã tạo ra một vòng lặp trong đó giá của tokenOut sẽ ghi đè lên giá của tokenIn, bơm giá của MONO trong quá trình nhiều ‘hoán đổi’.
Nhóm MonoX đã xác nhận trên Twitter ngày 30 tháng 11. Trong một cuộc truy vết được công bố vào ngày 2 tháng 12, tổng thiệt hại đã được xác nhận vào khoảng 31 triệu đô la. Nhóm nghiên cứu nói thêm:
“Những ngày như ngày hôm qua thật khủng khiếp, không có đường phủ lên thực tế khắc nghiệt của một hợp đồng bị khai thác và mọi người mất tiền. Những người ủng hộ chúng tôi đặt niềm tin vào một dự án mới như chúng tôi, và hôm qua chúng tôi đã làm họ thất vọng”.
MONO được liệt kê trên Huobi chỉ năm ngày trước khi hack trên MonoX.
Vi phạm bảo mật Badger là một mối đe dọa liên tục đối với người dùng tương tác với nền tảng của Badger DAO chứ không phải là một khai thác lớn duy nhất.
Người dùng Discord bắt đầu báo cáo các yêu cầu chi tiêu bất thường từ nền tảng Badger và cảnh báo quản trị viên trên phương tiện truyền thông xã hội và trên Discord sớm nhất là vào ngày 27 tháng 11.
Quản trị viên Blackbear trả lời rằng yêu cầu này là bất thường, nhưng có khả năng gây ra bởi một lỗi lành tính trong giao diện người dùng phía trước (UI).
Lỗi trong giao diện người dùng hóa ra là kẻ tấn công độc hại cố gắng đánh cắp tiền từ việc rút tiền của người dùng đó. Chiến thuật tương tự sẽ được sử dụng cho người dùng ngẫu nhiên trong nhiều ngày, hoặc thậm chí vài tuần trước khi nó được phát hiện là vi phạm bảo mật.
Tại thời điểm viết bài, thiệt hại từ cuộc tấn công Badger lên tới hơn 120 triệu đô la, bao gồm 2078,76 BTC, 30,27 ibBTC và 151,32 ETH, theo công ty phân tích blockchain PeckShield. Nhóm Badger đã điều tra vấn đề này và đã tạm dừng tất cả các hợp đồng thông minh về giao thức để tránh bất kỳ tổn thất nào nữa.
Sàn giao dịch phi tập trung đa chuỗi (DEX) MonoX (MONO) đã bị tấn công mạng vào ngày 30 tháng 11 dẫn đến thiệt hại khoảng 31 triệu đô la. BadgerDAO (BADGER) đã phải chịu một cuộc tấn công front-end được phát hiện vào ngày 2 tháng 12 với ước tính thiệt hại của Badger lên tới hơn 120 triệu đô la.
Nền tảng MonoX DEX đã phải chịu một cuộc tấn công duy nhất vào ngày 30 tháng 11. Trong cuộc tấn công này, một lỗi trong hợp đồng thông minh cho phép tồn tại sự khác biệt giữa giá tài sản, khi thay đổi thủ công.
Rekt News giải thích rằng tin tặc có thể thổi phồng giá của MONO thông qua hợp đồng thông minh, sau đó mua các tài sản khác từ giao thức với MONO.
“Hacker đã tạo ra một vòng lặp trong đó giá của tokenOut sẽ ghi đè lên giá của tokenIn, bơm giá của MONO trong quá trình nhiều ‘hoán đổi’.
Nhóm MonoX đã xác nhận trên Twitter ngày 30 tháng 11. Trong một cuộc truy vết được công bố vào ngày 2 tháng 12, tổng thiệt hại đã được xác nhận vào khoảng 31 triệu đô la. Nhóm nghiên cứu nói thêm:
MONO được liệt kê trên Huobi chỉ năm ngày trước khi hack trên MonoX.
Vi phạm bảo mật Badger là một mối đe dọa liên tục đối với người dùng tương tác với nền tảng của Badger DAO chứ không phải là một khai thác lớn duy nhất.
Người dùng Discord bắt đầu báo cáo các yêu cầu chi tiêu bất thường từ nền tảng Badger và cảnh báo quản trị viên trên phương tiện truyền thông xã hội và trên Discord sớm nhất là vào ngày 27 tháng 11.
Quản trị viên Blackbear trả lời rằng yêu cầu này là bất thường, nhưng có khả năng gây ra bởi một lỗi lành tính trong giao diện người dùng phía trước (UI).
Lỗi trong giao diện người dùng hóa ra là kẻ tấn công độc hại cố gắng đánh cắp tiền từ việc rút tiền của người dùng đó. Chiến thuật tương tự sẽ được sử dụng cho người dùng ngẫu nhiên trong nhiều ngày, hoặc thậm chí vài tuần trước khi nó được phát hiện là vi phạm bảo mật.
Tin tặc có thể sử dụng tài khoản Google Cloud bị xâm nhập để cài đặt phần mềm khai thác trong vòng chưa đầy 30 giây: Báo cáo
Tại thời điểm viết bài, thiệt hại từ cuộc tấn công Badger lên tới hơn 120 triệu đô la, bao gồm 2078,76 BTC, 30,27 ibBTC và 151,32 ETH, theo công ty phân tích blockchain PeckShield. Nhóm Badger đã điều tra vấn đề này và đã tạm dừng tất cả các hợp đồng thông minh về giao thức để tránh bất kỳ tổn thất nào nữa.