Giao thức restaking tiền điện tử Bedrock vừa mất khoảng 2 triệu USD do lỗ hổng bảo mật. Đáng chú ý, kẻ tấn công đã được mời vào làm công tác bảo mật cho chính giao thức mà nó đã tấn công.
Ngày 26 tháng 9, công ty bảo mật Web3 Dedaub phát hiện lỗ hổng trong hợp đồng thông minh của nhiều vault uniBTC thuộc Bedrock. Theo Dedaub, lỗi này đã được thông báo cho Bedrock nhưng không có hành động đáp trả. Công ty bảo mật cho biết:
“Đáng tiếc thay, mặc dù chúng tôi phát hiện vấn đề vài giờ trước, độ ngũ phản ứng hơi chậm, nên lỗ hổng đã bị khai thác.”
Lỗ hổng này đã gây thiệt hại khoảng 2 triệu USD, dù kẻ tấn công có thể đã lấy tới 75 triệu USD từ các vault uniBTC.
Ngày 27 tháng 9, Bedrock xác nhận vụ tấn công và thông báo đang phát triển kế hoạch bồi thường cho các nhà đầu tư. Họ cho biết đang làm việc với các đội kiểm toán và hacker mũ trắng để thu hồi số tiền đã mất.
Thử nghiệm phương thức mới để thu hồi tiền
Bedrock cũng đã cố gắng liên lạc với hacker thông qua một tin nhắn on-chain được tìm thấy trên nền tảng phân tích blockchain Ethereum, Etherscan.
Bedrock nhắn gửi đến hacker:
“Chúng tôi muốn mời bạn làm việc mũ trắng cho sự cố vừa rồi. Bạn có muốn cùng chúng tôi làm cho giao thức an toàn hơn không?”
Hacker cũng được đề nghị một phần thưởng cho việc khai thác các vault uniBTC trị giá 2 triệu USD. Tuy nhiên, hacker vẫn chưa phản hồi vào thời điểm này.
Đội ngũ Bedrock cam kết đảm bảo an toàn cho các quỹ hiện có và sẽ mở lại staking trên các hợp đồng uniBTC khi lỗ hổng được khắc phục.
Gần đây, người cho vay tiền điện tử Shezmu đã thu hồi gần 5 triệu USD sau khi đàm phán thành công với hacker on-chain.
Đàm phán để thu hồi tiền bị đánh cắp
Sau khi xác nhận một vault ShezmuUSD (ShezUSD) của mình bị khai thác, Shezmu đã khẩn trương yêu cầu hacker trả lại tiền đổi lấy phần thưởng bounty 10% mà không có hậu quả pháp lý.
Tuy vậy, hacker đã yêu cầu tăng phần thưởng lên 20% thay vì 10% ban đầu, và Shezmu đã đồng ý.