Shezmu, một giao thức DeFi, vừa trở thành nạn nhân của một vụ cướp mà kẻ trộm đã lấy đi 5 triệu USD qua một lỗ hổng không còn sử dụng trong hệ thống khoá của hợp đồng. Giao thức này sau đó đã chuyển sang thương lượng với hacker và quản lý để thu hồi lại phần lớn số tiền bị đánh cắp. Dưới đây là diễn biến của sự cố:

Lỗ hổng: Vay ShezUSD không giới hạn

Cuộc tấn công xảy ra khi hacker lợi dụng một lỗ hổng trong một trong các kho của Shezmu, cho phép hắn mint tài sản thế chấp mà không bị giới hạn. Điều này cho phép kẻ tấn công lấy các khoản vay ShezUSD không giới hạn và hút khoảng 5 triệu USD từ nền tảng.

Thương lượng với hacker

Ngay sau đó, Shezmu bắt đầu liên lạc với hacker và đưa ra đề nghị thưởng 10% nếu các Token bị đánh cắp được trả lại. Hacker đáp lại bằng yêu cầu 20% và Shezmu đồng ý. Tình huống này có thể được coi là một thoả thuận “white hat” vì không xảy ra giảm tiếp tục và không có khiếu nại pháp lý nào.

Thu hồi số tiền bị đánh cắp

Trong chưa đầy một ngày, hacker bắt đầu trả lại tài sản bị đánh cắp, đầu tiên là DAI cùng 419,18 ETH bao gồm cả wETH. Shezmu đã cung cấp sự đảm bảo về việc thu hồi tất cả số tiền còn lại và thu hồi vốn bị đánh cắp.

Tuy nhiên, trong chiến lược xử lý sự cố, Shezmu đã nêu rõ các kế hoạch hỗ trợ các LP bị ảnh hưởng một cách minh bạch. Hình ảnh chụp các LP nắm giữ ShezUSD và các tài sản kết hợp với ShezETH trên Curve, Balancer, và Beefy sẽ được thực hiện.

Những LP bị mất này sẽ được bồi thường bằng việc airdrop lại 80% số vốn thanh khoản bị mất. Với 20% còn lại, Shezmu sẽ bán các Token nợ của mình, sẽ được quy đổi bằng phí giao thức và tài sản kho bạc.

Bên cạnh việc thu hồi, Shezmu đã kích hoạt chế độ phục hồi cho pool Balancer ShezETH, điều này có nghĩa là các LP có thể rút số lượng theo tỷ lệ đầu tư của họ nhưng không thể gửi hoặc hoán đổi trên pool. Giao thức sẽ sớm công bố báo cáo phân tích sự cố và các biện pháp để đảm bảo các hoạt động an toàn trong tương lai.