Một cuộc tấn công khai thác các hợp đồng cho vay chưa được xác minh trên blockchain Base đã gây ra vụ trộm khoảng 1 triệu USD.
Sự việc diễn ra trong vài giờ, được báo cáo bởi công ty an ninh blockchain Cyvers Alerts trong một bài đăng trên X vào ngày 25 tháng 10.
Kẻ tấn công đã khai thác lỗ hổng trong các hợp đồng thông minh liên quan đến Wrapped Ether (WETH), thành công thao túng giá và sau đó bòn rút các khoản tiền.
Nguồn: Cyvers Alerts
Khai thác thao túng giá
Giao dịch khả nghi ban đầu của kẻ tấn công đã rút ra 993.534 USD từ các hợp đồng cho vay chưa được xác minh trên blockchain Base.
Họ đã chuyển phần lớn số tiền bị đánh cắp đến mạng Ethereum và sau đó gửi khoảng 202.549 USD vào dịch vụ Tornado Cash tập trung vào sự riêng tư. Các khoản tiền bổ sung tổng cộng 455.127 USD đã bị lấy đi bằng cách sử dụng cùng một lỗ hổng khai thác.
Trong một phiên hỏi đáp bằng văn bản với TinTucBitcoin, Hakan Unal, trưởng nhóm SOC cao cấp tại Cyvers Alerts, đã giải thích về lỗ hổng bị khai thác trong cuộc tấn công:
“Oracle sử dụng bởi các hợp đồng này không mạnh, chỉ dựa vào một cặp duy nhất với thanh khoản hạn chế khoảng 400K, khiến nó dễ bị tác động bởi biến động giá có thể bị thao túng.”
Hệ quả bảo mật và biện pháp phòng ngừa
Việc khai thác các hợp đồng cho vay chưa xác minh trong sự cố này tiết lộ những rủi ro rộng lớn hơn liên quan đến các nền tảng DeFi (DeFi) không thực thi các biện pháp bảo mật mạnh mẽ.
Unal giải thích rằng “một oracle đáng tin cậy hơn, đa dạng hơn với thanh khoản cao hơn để tránh thao túng giá” có thể được sử dụng để ngăn chặn các cuộc tấn công tương tự trong tương lai, đặc biệt là “đối với các tài sản như WETH.”
“Việc kiểm tra hợp đồng cho vay cẩn thận hơn, đặc biệt là trên các oracle được sử dụng, có thể giảm thiểu các rủi ro này.”
Trách nhiệm thuộc về ai?
Unal cho TinTucBitcoin biết rằng “kẻ tấn công đã trốn thoát” với số tiền đánh cắp thông qua việc khai thác “lỗ hổng thao túng giá cả.”
“Trách nhiệm có thể nằm ở thực thể quản lý các hợp đồng cho vay chưa xác minh, cũng như những người chịu trách nhiệm chọn oracle không đủ bảo mật cho việc xác minh giá cả.”
Kẻ tấn công chưa được xác định và đã thành công trong việc trốn thoát với số tiền bị đánh cắp. Sự cố này nhấn mạnh nhu cầu các nền tảng DeFi cần cải thiện các giao thức bảo mật để bảo vệ tài sản của người dùng và đảm bảo việc xác minh hợp đồng trong tương lai nhằm ngăn chặn các sự kiện tương tự xảy ra.
