Sàn giao dịch phi tập trung (DEX) Clipper đã làm rõ rằng một lỗ hổng trong chức năng rút tiền đã gây ra vụ tấn công chiếm đoạt 450.000 USD gần đây, thay vì rò rỉ khóa bí mật như một “bên thứ 3” đã gợi ý.
Ngày 1 tháng 12, Clipper thông báo qua một bài đăng rằng kẻ tấn công đã khai thác hai hồ thanh khoản vào ngày 1 tháng 12, chiếm khoảng 6% tổng giá trị bị khóa. Clipper khẳng định không có hồ nào khác bị ảnh hưởng và khai thác đã kết thúc.
“Có những tuyên bố từ bên thứ 3 cho rằng đã xảy ra rò rỉ khóa bí mật,” Clipper cho biết. “Chúng tôi có thể xác nhận rằng điều này không đúng và không phù hợp với thiết kế và kiến trúc bảo mật của Clipper.”
“Khả năng rút dưới dạng chỉ một Token (một giao dịch hoán đổi + nạp/rút đóng gói) đã bị vô hiệu hóa, vì đó có vẻ là đặc tính bị khai thác,” Clipper nói thêm.
Trước đó, đồng sáng lập công ty bảo mật Fuzzland, ông Chaofan Shou đã đăng tải lên X rằng Clipper đã bị tấn công do lỗ hổng API (giống như rò rỉ khóa bí mật) và cho rằng API có thể đã có những lỗ hổng cho phép kẻ tấn công ký yêu cầu nạp và rút để lấy đi nhiều tài sản hơn những gì họ đã đặt vào.
Nguồn: Chaofan Shou
Clipper tuyên bố đang tiến hành điều tra vụ việc và hứa hẹn sẽ cung cấp thêm cập nhật; hiện tại đã tạm dừng các giao dịch hoán đổi và nạp trên nền tảng của mình. Các giao dịch rút tiền vẫn được phép, nhưng phải gồm tất cả các tài sản trong hồ, Clipper nói thêm.
Dự án cũng cho biết đã bắt đầu truy tìm số tiền bị đánh cắp để tìm cách thu hồi và yêu cầu kẻ khai thác liên hệ nếu họ “sẵn lòng trao đổi.”
Vụ tấn công này góp phần vào tổng số hơn 1,48 tỷ USD Tiền Điện Tử đã bị chiếm đoạt trong năm 2024 cho đến cuối tháng 11, giảm 15% so với cùng kỳ năm ngoái, theo một báo cáo từ Immunefi công bố ngày 28 tháng 11.
Nhà tạo lập của Clipper, công ty Shipyard Software Inc., không ngay lập tức phản hồi yêu cầu bình luận ngoài giờ làm việc thông thường.
Chúng tôi đã liên hệ với Shou để lấy ý kiến bình luận.
