Trình tổng hợp DeFi bị tấn công bởi năm tin tặc vào ngày ra mắt

Giao thức tài chính phi tập trung chống chọi ForceDAO đã có một khởi đầu khó khăn, với một số cuộc xâm nhập từ tin tặc diễn ra chỉ vài giờ sau khi nó ra mắt.

Công ty tổng hợp lợi nhuận dựa trên Ethereum chỉ mới khởi động chiến dịch airdrop vào ngày 3 tháng 4 khi bốn tin tặc “mũ đen” độc hại đã tiêu hao tổng cộng 183 ETH trị giá khoảng 367.000 đô la vào thời điểm đó. Một hacker “mũ trắng” thân thiện đã hỗ trợ nhóm bằng cách cảnh báo họ để ngăn chặn tổn thất thêm.

Nhóm nghiên cứu đã phát hành bản khám nghiệm tử thi các vụ tấn công và nhận trách nhiệm về những gì họ gọi là “giám sát kỹ thuật”.

POST-MORTEM

Đối với cộng đồng Force và DeFi, chúng tôi muốn chia sẻ quá trình khám nghiệm tử thi về việc khai thác xFORCE gần đây.

Cảm ơn tất cả mọi người kỹ thuật và phi kỹ thuật đã giúp đỡ trong suốt quá trình.

Đặc biệt là với Mũ trắng, người đã giúp ngăn chặn FORCE bị cạn kiệt. Https://t.co/MK2GH69yLd

– Lực lượng (@force_dao) Ngày 4 tháng 4 năm 2021

Sau vụ xâm nhập, nhóm đã đưa ra quyết định chuyển 60 triệu token FORCE từ ví đa chữ ký của kho bạc sang ví của người triển khai để tạo và thực hiện ba phiếu bầu có hiệu quả đốt cháy số dư FORCE ở ba trong số các địa chỉ của tin tặc.

Khám nghiệm tử thi giải thích rằng nền tảng xFORCE bị ảnh hưởng là một nhánh của hợp đồng thông minh SushiSwap có chứa cơ chế hoàn nguyên mã thông báo trong trường hợp giao dịch không thành công. Giao thức mô tả xFORCE là phiên bản “chịu lãi suất” của FORCE, đại diện cho các cổ phần trong nhóm của nó tương tự như cách hoạt động của mã thông báo LP.

Một lỗ hổng trong hợp đồng được ForceDAO sử dụng đã cho phép những kẻ tấn công khai thác cơ chế này để đúc các mã thông báo xFORCE sau đó được rút và đổi lấy ETH trên thị trường. Nhóm nghiên cứu thừa nhận cuộc tấn công sẽ tương đối dễ dàng để ngăn chặn.

“Điều này có thể được ngăn chặn bằng cách sử dụng Open Zeppelin ERC-20 tiêu chuẩn hoặc thêm một trình bao bọc safeTransferFrom trong hợp đồng xSUSHI.”

Nó nói thêm rằng vụ hack hiện đang được điều tra vì một số địa chỉ có nguồn gốc từ các sàn giao dịch phổ biến FTX và Binance. Ảnh chụp nhanh sẽ được thực hiện và dự án sẽ được khởi chạy lại với mã thông báo xFORCE mới, nó được thêm vào.

Sau khi ra mắt và airdrop, giá token FORCE đã tăng lên hơn 2 đô la vào ngày 4 tháng 4, nhưng kể từ đó đã giảm hơn 95% xuống còn 0,05 đô la tại thời điểm viết bài.