Wise Lending, một ứng dụng cho vay và tổng hợp lợi nhuận trên Web3, đã gặp phải một vụ vi phạm nghiêm trọng vào ngày 12 tháng 1, dẫn đến vụ trộm 170 Ether (ETH), hiện có giá trị 440,000 USD.
Sự cố này đã được xác nhận bởi nhiều chuyên gia bảo mật, những người nghi ngờ rằng kẻ tấn công có thể đã khai thác giá tiên tri bằng cách sử dụng khoản vay nhanh. Cuộc tấn công được ghi lại trên blockchain lúc 7:29 tối UTC, với việc thủ phạm sử dụng một hợp đồng chưa được xác minh có địa chỉ kết thúc bằng “d82c” để rút tiền.
Kẻ tấn công cũng đã chuyển nhiều token khác nhau vào hợp đồng này, bao gồm 9,000 USD dưới dạng USD Coin (USDC), 2,000 USD dưới dạng Tether (USDT), 5,000 USD dưới dạng Dai (DAI), 18.51 Wrapped Ether (WETH), trị giá 47,694 USD và nhiều token khác nhau được liên kết với Pendle Finance.
Là một phần của hoạt động khai thác, kẻ tấn công đã vay 1,110 token Lido Staked Ether (stETH), trị giá 2.9 triệu USD, từ giao thức cho vay Aave.
Các khoản vay nhanh, thường được những kẻ khai thác sử dụng, được sử dụng để thao túng giá oracle, tạo điều kiện cho các cuộc tấn công như vậy.
Một nhà nghiên cứu bảo mật blockchain có biệt danh là Spreek lần đầu tiên cảnh báo cộng đồng tiền điện tử về cuộc tấn công Wise Lending, đăng trên X (trước đây là Twitter), nêu rõ:
“Có vẻ như Wise Lending bị khai thác ~170 ETH”.
Spreek cũng suy đoán trong một bài đăng tiếp theo rằng lỗ hổng này có thể được kết nối với token phái sinh Pendle Finance mới. Một nhà nghiên cứu bảo mật khác, Officer’s Notes, đã bình luận về tình huống này:
“Một ngày mới, một vụ khai thác mới”.
Ghi chú của nhân viên cho rằng lỗ hổng này có thể được kích hoạt do sự dao động giá 7% giữa stETH và ETH trong một pool cụ thể, có thể do khoản vay flash AAVE v2 stETH.
Mặc dù năm 2024 chỉ mới bắt đầu nhưng lĩnh vực tài chính phi tập trung (DeFi) đã bị thiệt hại ít nhất 5 triệu USD do nhiều hoạt động khai thác khác nhau.
Vào ngày 3 tháng 1, Radiant Capital đã gánh chịu khoản lỗ vượt quá 4.5 triệu USD, tiếp theo là công ty quản lý thanh khoản Gamma Protocol mất hơn 400,000 USD do bị khai thác vào ngày hôm sau.
Theo báo cáo của nền tảng bảo mật blockchain Certik, vào năm trước, 2023, ngành công nghiệp tiền điện tử đã chứng kiến khoản lỗ tổng cộng hơn 1.8 tỷ USD do các vụ hack, lừa đảo và khai thác.
Những sự cố này nhấn mạnh những thách thức đang diễn ra và mối lo ngại về bảo mật trong không gian tiền điện tử.
Sự cố này đã được xác nhận bởi nhiều chuyên gia bảo mật, những người nghi ngờ rằng kẻ tấn công có thể đã khai thác giá tiên tri bằng cách sử dụng khoản vay nhanh. Cuộc tấn công được ghi lại trên blockchain lúc 7:29 tối UTC, với việc thủ phạm sử dụng một hợp đồng chưa được xác minh có địa chỉ kết thúc bằng “d82c” để rút tiền.
Kẻ tấn công cũng đã chuyển nhiều token khác nhau vào hợp đồng này, bao gồm 9,000 USD dưới dạng USD Coin (USDC), 2,000 USD dưới dạng Tether (USDT), 5,000 USD dưới dạng Dai (DAI), 18.51 Wrapped Ether (WETH), trị giá 47,694 USD và nhiều token khác nhau được liên kết với Pendle Finance.
Là một phần của hoạt động khai thác, kẻ tấn công đã vay 1,110 token Lido Staked Ether (stETH), trị giá 2.9 triệu USD, từ giao thức cho vay Aave.
Các khoản vay nhanh, thường được những kẻ khai thác sử dụng, được sử dụng để thao túng giá oracle, tạo điều kiện cho các cuộc tấn công như vậy.
Một nhà nghiên cứu bảo mật blockchain có biệt danh là Spreek lần đầu tiên cảnh báo cộng đồng tiền điện tử về cuộc tấn công Wise Lending, đăng trên X (trước đây là Twitter), nêu rõ:
“Có vẻ như Wise Lending bị khai thác ~170 ETH”.
Spreek cũng suy đoán trong một bài đăng tiếp theo rằng lỗ hổng này có thể được kết nối với token phái sinh Pendle Finance mới. Một nhà nghiên cứu bảo mật khác, Officer’s Notes, đã bình luận về tình huống này:
“Một ngày mới, một vụ khai thác mới”.
Ghi chú của nhân viên cho rằng lỗ hổng này có thể được kích hoạt do sự dao động giá 7% giữa stETH và ETH trong một pool cụ thể, có thể do khoản vay flash AAVE v2 stETH.
Mặc dù năm 2024 chỉ mới bắt đầu nhưng lĩnh vực tài chính phi tập trung (DeFi) đã bị thiệt hại ít nhất 5 triệu USD do nhiều hoạt động khai thác khác nhau.
Vào ngày 3 tháng 1, Radiant Capital đã gánh chịu khoản lỗ vượt quá 4.5 triệu USD, tiếp theo là công ty quản lý thanh khoản Gamma Protocol mất hơn 400,000 USD do bị khai thác vào ngày hôm sau.
Theo báo cáo của nền tảng bảo mật blockchain Certik, vào năm trước, 2023, ngành công nghiệp tiền điện tử đã chứng kiến khoản lỗ tổng cộng hơn 1.8 tỷ USD do các vụ hack, lừa đảo và khai thác.
Những sự cố này nhấn mạnh những thách thức đang diễn ra và mối lo ngại về bảo mật trong không gian tiền điện tử.