Vụ tiến công diễn ra hôm 22/4 trên dự án DeFi mang tên Zeed. Sau khi thu được số tiền điện tử lớn, hacker chuyển vào một “hợp đồng tấn công” thay vì chuyển vào ví thông thường. Đây là thỏa thuận thông minh do hacker tự viết, với khả năng tự động thi hành các tác vụ trong thời gian rất ngắn và khả năng tự hủy để gây khó khăn cho công tác truy tìm.
Tuy nhiên, blog của Zeed cho biết, 15 giây sau khi tấn công, tin tặc đã kích hoạt tính năng tự hủy thỏa thuận trước lúc lấy đi số chi phí thu được, khiến tiền bị khóa trong hợp đồng tiến công mãi mãi, không thể lấy ra được.
Theo dịch vụ bảo mật BlockSec, kẻ tấn công “có thể vì quá phấn khích nên đã kích hoạt tính năng tự hủy” trước khi kịp chuyển tiền đi nơi khác. Tra cứu trên công cụ Bscscan, toàn bộ số BUSD tương đương 1,043 triệu USD vẫn nằm trên thỏa thuận này từ khi vụ hack xảy ra.
Hacker bán tháo các token khiến giá trị của đồng Yeed gần như về 0.
Vụ tiến công được đánh giá có quy mô nhỏ và gây chú trọng vì lỗi ngớ ngẩn của tin tặc. Tuy nhiên, theo một số chuyên gia, sự việc tiếp tục cho thấy sự kém an toàn của nhiều dự án DeFi.
Trong tình huống của Zeed, hacker khai thác lỗ hổng trong giao thức “cho vay nhanh” của dự án. Hình thức này cấp phép người dùng có thể vay tiền không thế chấp để mua và bán token, sau đó phải hoàn lại ngay trong cùng một khối giao dịch và mất phí 5%. Khoản phí này đáng lẽ được chia thành ba phần để trả thưởng cho các người cung cấp thanh khoản. Tuy nhiên do lỗi của Zeed, hệ thống dường như không phân chia phần thưởng, dẫn việc phải cung cấp thêm 1 lượng token gấp ba dự kiến. Hacker đã bán tháo số token này, khiến giá trị của nó gần như về 0.
Lưu Quý
Hacker, Blockchain, Tiền điện tử, Zeed, Bảo mật, Tin
Nội dung Lỗi ngớ ngẩn khiến hacker mất một triệu USD tiền số – Tin Công Nghệ Số hóa được tổng hợp sưu tầm biên tập bởi: Sửa máy tính ITS. Mọi ý kiến vui lòng gửi Liên Hệ cho suamaytinhits.com để điều chỉnh. suamaytinhits.com tks.
