Một tin tặc đã rút được hơn 6 triệu USD từ giao thức tài chính phi tập trung (DeFi) Delta Prime bằng cách đúc một số lượng lớn token.
Theo dữ liệu từ trình khám phá khối Arbiscan, kẻ tấn công đã đúc hơn 115 duovigintillion token Delta Prime USD (DPUSDC) trong cuộc tấn công ban đầu, lớn hơn 1,1*10^69 theo ký hiệu khoa học. DPUSDC có thể hiểu là một dạng biên lai tiền gửi cho USDC, đồng tiền ổn định được nắm giữ tại Delta Prime. Nó được dự định có thể đổi theo tỷ lệ 1:1 để lấy USDC. Mặc dù đúc một số lượng lớn token như vậy, kẻ tấn công chỉ đốt 2.4 triệu trong số đó, đổi lại nhận được 2.4 triệu đô la đồng tiền ổn định USDC.
Sau đó, kẻ tấn công lặp lại các bước này cho các token biên lai tiền gửi khác, đúc hơn 1 duovgintillion Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillion Delta Prime Wrapped Ether (DPWETH), 115 octodecillion Delta Prime Arbitrum (DPARB)… Cuối cùng hacker đã đổi một phần nhỏ số tiền đúc để nhận hơn 1 triệu USD giá trị Bitcoin (BTC), Ether (ETH), Arbitrum (ARB) và các token khác. Theo chuyên gia bảo mật blockchain Chaofan Shou, kẻ tấn công đã đánh cắp được khoảng 6 triệu USD tiền quỹ cho đến nay.
Kẻ tấn công đã có thể đúc các token biên lai tiền gửi này bằng cách đầu tiên là chiếm quyền kiểm soát một tài khoản quản trị có đuôi là b1afb, mà chúng có thể đã thực hiện được bằng cách đánh cắp khóa riêng của nhà phát triển. Sử dụng tài khoản này, chúng đã gọi hàm “nâng cấp” trên mỗi hợp đồng nhóm thanh khoản của giao thức.
Các chức năng này được thiết kế để sử dụng cho các bản nâng cấp phần mềm. Chúng cho phép nhà phát triển thay đổi mã trong hợp đồng bằng cách để proxy trỏ đến một địa chỉ triển khai khác. Tuy nhiên, kẻ tấn công đã sử dụng các chức năng này để trỏ từng proxy đến một hợp đồng độc hại mà kẻ tấn công đã tạo. Mỗi hợp đồng độc hại cho phép kẻ tấn công tạo ra một số lượng lớn biên lai tiền gửi tùy ý, trên thực tế cho phép chúng rút hết từng nhóm tiền.
Delta Prime đã thừa nhận cuộc tấn công trong một bài đăng trên X, nêu rằng “Vào lúc 6:14 sáng theo giờ CET, DeltaPrime Blue (Arbitrum) đã bị tấn công và rút hết 5.98 triệu USD”. Bài đăng này tuyên bố rằng phiên bản Avalanche, DeltaPrime Blue, không dễ bị tấn công. Bài đăng cũng nêu rằng bảo hiểm của giao thức “sẽ chi trả mọi tổn thất tiềm ẩn khi có thể/cần thiết”.
Cuộc tấn công Delta Prime minh họa cho rủi ro của các giao thức DeFi sử dụng hợp đồng có thể nâng cấp. Hệ sinh thái Web3 được thiết kế để ngăn chặn các vụ tấn công khóa riêng tư khai thác toàn bộ giao thức.
Về mặt lý thuyết, kẻ tấn công cần phải đánh cắp khóa riêng tư của mọi người dùng để rút hết toàn bộ giao thức. Tuy nhiên, khi hợp đồng có thể nâng cấp, nó sẽ tạo ra yếu tố rủi ro tập trung, có thể khiến toàn bộ cơ sở người dùng mất tiền.
Mặc dù vậy, một số giao thức tin rằng việc từ bỏ khả năng nâng cấp có thể tệ hơn so với giải pháp thay thế, vì nó có thể ngăn nhà phát triển sửa lỗi được tìm thấy sau khi triển khai. Các nhà phát triển Web3 tiếp tục tranh luận về thời điểm các giao thức nên và không nên cho phép nâng cấp.
Các vụ tấn công hợp đồng thông minh tiếp tục gây rủi ro cho người dùng Web3. Vào ngày 11/9, một kẻ tấn công đã rút hơn 1.4 triệu đô la từ nhóm thanh khoản mã thông báo CUT bằng cách sử dụng một dòng mã khó hiểu chỉ ra một chức năng chưa được xác minh trên một hợp đồng riêng biệt. Vào ngày 03/9, hơn 27 triệu USD đã bị rút khỏi giao thức Penpie sau khi kẻ tấn công đăng ký thành công hợp đồng độc hại của riêng mình làm một token market.
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
