Hơn 150 triệu đô la đã bị mất trong tuần này do các vi phạm bảo mật riêng biệt tại các dự án DeFi MonoX và BadgerDAO.
Sàn giao dịch phi tập trung đa chuỗi (DEX) MonoX (MONO) đã bị tấn công mạng vào ngày 30 tháng 11 dẫn đến thiệt hại khoảng 31 triệu đô la. BadgerDAO (BADGER) đã phải chịu một cuộc tấn công từ phía trước được phát hiện vào ngày 2 tháng 12 với ước tính thiệt hại của Badger lên tới hơn 120 triệu đô la.
Nền tảng MonoX DEX đã phải chịu một cuộc tấn công duy nhất vào ngày 30 tháng 11. Trong cuộc tấn công này, một lỗi trong hợp đồng thông minh đã cho phép sự khác biệt tồn tại giữa giá của các tài sản khi được thay đổi theo cách thủ công.
Rekt News giải thích rằng tin tặc có thể tăng giá MONO thông qua hợp đồng thông minh, sau đó mua các tài sản khác từ giao thức với MONO.
“Tin tặc đã tạo ra một vòng lặp trong đó giá của tokenOut sẽ ghi đè lên giá của tokenIn, làm tăng giá của MONO qua nhiều lần ‘hoán đổi’.”
Nhóm MonoX đã xác nhận nhiều như vậy vào ngày 30 tháng 11 tiếng riu ríu. Trong một cuộc khám nghiệm tử thi được công bố vào ngày 2 tháng 12, tổng thiệt hại được xác nhận là khoảng 31 triệu đô la. Nhóm nghiên cứu đã thêm:
“Những ngày như hôm qua thật kinh khủng, không có đường nào phủ lên thực tế khắc nghiệt của một hợp đồng bị lợi dụng và mọi người mất tiền. Những người ủng hộ chúng tôi đặt niềm tin vào một dự án mới như chúng tôi, và ngày hôm qua chúng tôi đã khiến họ thất vọng.”
MONO được niêm yết trên Huobi chỉ năm ngày trước khi xảy ra vụ hack trên MonoX.
Vi phạm bảo mật Badger là một mối đe dọa liên tục đối với người dùng tương tác với nền tảng của Badger DAO hơn là một vụ khai thác lớn.
Người dùng Discord bắt đầu báo cáo các yêu cầu chi tiêu bất thường từ nền tảng Badger và thông báo cho quản trị viên trên phương tiện truyền thông xã hội và trên Bất hòa sớm nhất là vào ngày 27 tháng 11.
Quản trị viên Blackbear đã trả lời rằng yêu cầu này là bất thường, nhưng có thể do một lỗi lành tính trong giao diện người dùng (UI) giao diện người dùng.
https://twitter.com/0xMoves/status/1466275399944445952
Lỗi trong giao diện người dùng hóa ra là kẻ tấn công độc hại đang cố gắng ăn cắp tiền từ việc rút tiền của người dùng đó. Chiến thuật tương tự sẽ được sử dụng trên những người dùng ngẫu nhiên trong nhiều ngày, hoặc thậm chí vài tuần trước khi nó bị phát hiện là vi phạm bảo mật.
Có liên quan: Tin tặc có thể sử dụng tài khoản Google Cloud bị xâm phạm để cài đặt phần mềm khai thác trong vòng chưa đầy 30 giây:
Tại thời điểm viết bài, thiệt hại từ cuộc tấn công Badger lên tới hơn 120 triệu đô la, bao gồm 2078,76 BTC, 30,27 ibBTC và 151,32 ETH, theo công ty phân tích blockchain PeckShield. Nhóm Badger đã được điều tra vấn đề và đã tạm dừng tất cả các hợp đồng thông minh trên giao thức để tránh bất kỳ tổn thất nào tiếp theo.
.