Một hacker đã rút hơn 6 triệu USD từ giao thức DeFi (DeFi) Delta Prime bằng cách tạo ra một số lượng lớn không giới hạn các Token biên nhận tiền gửi.
Theo dữ liệu từ trình khám phá khối Arbiscan, kẻ tấn công đã khai thác hơn 115 duovigintillion Delta Prime USD (DPUSDC) Token trong cuộc tấn công ban đầu, tương đương hơn 1,1*10^69 dưới dạng ký hiệu khoa học.
DPUSDC là biên nhận tiền gửi cho USDC (USDC) stablecoin tại Delta Prime, được thiết kế để quy đổi theo tỷ lệ 1:1 với USDC.
Mặc dù tạo ra số lượng biên nhận tiền gửi USDC khổng lồ như vậy, kẻ tấn công chỉ đốt 2,4 triệu trong số đó và nhận được 2,4 triệu USD stablecoin USDC đổi lại.
Kẻ tấn công tạo ra một số lượng lớn Token DPUSDC và quy đổi một phần. Nguồn: Arbiscan.
Kẻ tấn công sau đó lặp lại các bước này cho các Token biên nhận tiền gửi khác, tạo ra hơn 1 duovgintillion Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillion Delta Prime Wrapped Ether (DPWETH), 115 octodecillion Delta Prime Arbitrum (DPARB), và nhiều Token biên nhận tiền gửi khác, cuối cùng đổi một phần nhỏ trong số đó để nhận hơn 1 triệu USD bằng Bitcoin (BTC), Ether (ETH), Arbitrum (ARB) và các Token khác.
Chuyên gia bảo mật blockchain Chaofan Shou ước tính rằng kẻ tấn công đã đánh cắp khoảng 6 triệu USD cho đến nay.
Nguồn: Chaofan Shu.
Kẻ tấn công có thể tạo ra những Token biên nhận tiền gửi này bằng cách kiểm soát tài khoản quản trị kết thúc bằng b1afb, có thể bằng cách đánh cắp khóa cá nhân của nhà phát triển. Sử dụng tài khoản này, họ gọi một hàm “nâng cấp” trên mỗi hợp đồng bể thanh khoản của giao thức.
Các hàm này được dự định để sử dụng cho các nâng cấp phần mềm, cho phép nhà phát triển thay đổi mã trong hợp đồng bằng cách làm cho proxy trỏ đến một địa chỉ thực hiện khác. Tuy nhiên, kẻ tấn công đã sử dụng các hàm này để trỏ proxy đến hợp đồng độc hại do họ tạo ra. Mỗi hợp đồng độc hại cho phép họ tạo ra một số lượng không giới hạn biên nhận tiền gửi, thực tế là hút cạn mỗi bể tiền.
Kẻ tấn công Delta Prime nâng cấp hợp đồng. Nguồn: Arbiscan.
Delta Prime đã thừa nhận cuộc tấn công trong một bài đăng trên X, tuyên bố rằng “Lúc 6:14 AM CET DeltaPrime Blue (Arbitrum) đã bị tấn công và hút cạn 5,98 triệu USD.”
Họ tuyên bố rằng phiên bản trên Avalanche, DeltaPrime Blue, không dễ bị tấn công. Họ cũng nói rằng bảo hiểm của giao thức sẽ “bao phủ bất kỳ giảm tiềm năng nào nếu cần thiết.”
Việc Delta Prime bị tấn công minh họa rủi ro của các giao thức DeFi sử dụng hợp đồng có thể nâng cấp.
Hệ sinh thái Web3 được thiết kế để ngăn chặn các cuộc tấn công chiếm đoạt khóa cá nhân của toàn bộ giao thức. Theo lý thuyết, một kẻ tấn công cần phải đánh cắp khóa cá nhân của mọi người dùng mới có thể hút cạn toàn bộ giao thức. Tuy nhiên, khi hợp đồng có thể nâng cấp, nó giới thiệu một yếu tố rủi ro tập trung, có thể dẫn đến việc giảm toàn bộ quỹ người dùng.
Tuy nhiên, một số giao thức tin rằng từ bỏ khả năng nâng cấp có thể còn tệ hại hơn, vì nó có thể ngăn nhà phát triển sửa lỗi sau khi triển khai. Các nhà phát triển Web3 tiếp tục tranh luận khi nào nên và không nên cho phép nâng cấp hợp đồng.
Các lỗ hổng hợp đồng thông minh tiếp tục gây rủi ro cho người dùng Web3. Vào ngày 11 tháng 9, một kẻ tấn công đã hút cạn hơn 1,4 triệu USD từ bể thanh khoản CUT Token bằng cách sử dụng một dòng mã không rõ ràng trỏ đến một hàm chưa xác minh trên một hợp đồng riêng biệt.
Ngày 3 tháng 9, hơn 27 triệu USD đã bị hút cạn khỏi giao thức Penpie sau khi kẻ tấn công đăng ký thành công hợp đồng độc hại của mình như một thị trường Token.
