Theo các chuyên gia bảo mật của Binance, cuộc tấn công đã nhắm vào quỹ thanh khoản của Impossible Finance, xảy ra vào rạng sáng ngày 21/6 và gây thiệt hại 229.84 ETH (khoảng 500.000 USD).
Chung xu hướng ảm đạm của thị trường tiền mã hóa, giá token IF (Impossible Finance) trong ngày 21/6 đã tiếp tục giảm thêm 30% sau thông tin dự án bị hack. Như vậy, đồng tiền này đã giảm tổng cộng 80% kể từ khi đạt được mức giá 3,79 USD trong ngày trước đó.
Giá token Impossible Finance có lúc giảm tới 80% sau sự cố. |
Các dự án này hầu hết đang được thực hiện trên nền tảng DeFi (tài chính phi tập trung), một thuật ngữ đã xuất hiện từ năm 2018 với khả năng cung cấp các công cụ tài chính mà không phụ thuộc vào bên trung gian như môi giới hay ngân hàng.
Điểm khác biệt của DeFi so với dịch vụ tài chính truyền thống chính là các hợp đồng thông minh, giúp người dùng duy trì hoàn toàn quyền kiểm soát tài sản mà không cần sự cấp phép của bất kỳ bên trung gian nào. Do đó, tin tặc đã lợi dụng chính các hợp đồng thông minh này để tạo ra các giao dịch chớp nhoáng nhằm đánh cắp tiền từ Impossible Finance.
Tấn công cho vay nhanh (flash loan) là một cách khai thác trong đó tin tặc lấy một khoản vay phi tập trung từ một giao thức cho vay và thao túng thị trường có lợi cho họ thông qua một loạt các kỹ thuật phức tạp.
Hacker đã thực hiện một cuộc tấn công chớp nhoáng bằng cách tạo ra các giao dịch cho vay rồi rút cạn nguồn thanh khoản của Impossible Finance với sự trợ giúp của các token giả.
Theo công ty bảo mật WatchPlug, nhóm tin tặc đã lợi dụng một lỗ hổng trong hợp đồng thông minh của quỹ thanh khoản để thực hiện nhiều lần hoán đổi IF (token gốc của Impossible Finance), sang BUSD và sau đó sang BNB để hoàn trả khoản cho vay nhanh. Tuy nhiên, điều bất thường ở đây là các giao dịch hoán đổi được thực hiện gần như liên tục và chung một mức giá, điều đúng ra hoàn toàn bất khả thi do hiện tượng trượt giá.
Mudit Gupta, nhà phát triển cốt lõi của sàn SushiSwap, cho biết thực chất lỗ hổng này đã từng bị khai thác trong một cuộc tấn công gần đây nhằm vào BurgerSwap, gây tổn thất lên tới 7,2 triệu USD cũng trên chính nền tảng Binance Smart Chain (BSC).
Nhiều loại token khác trên Binance Smart Chain cũng bị tấn công theo hình thức này, đáng chú ý có PancakeBunny, bị rút mất 45 triệu USD tiền của khách hàng và BeltFinance, bị khai thác trái phép với tổng thiệt hại 6,2 triệu USD.
PancakeBunny cũng từng bị tin tặc đánh cắp 45 triệu USD từ các tài khoản của khách hàng. Ảnh: thecoinshark. |
Sau sự cố trên, nhóm phát triển đằng sau giao thức Impossible Finance đã xác nhận trên Telegram rằng họ sẽ bồi thường tất cả các khoản tiền được gửi vào quỹ thanh khoản trước khi cuộc tấn công xảy ra.
Hiện tại, tất cả lãi giao dịch đều bị tạm dừng thanh toán, trong khi người dùng được khuyến nghị không nên giao dịch với các cặp IF/BUSD và IF/BNB.
Nhóm phát triển giao thức Impossible Finance cũng cho biết đang làm việc tích cực với PeckShield, WatchPlug và “những nhóm ủng hộ cộng đồng khác” để điều tra tình hình cụ thể cũng như sẽ sớm đưa ra một báo cáo chi tiết về sự cố này.
Cuộc tấn công vào Impossible Finance xảy ra chưa đầy 3 tuần sau khi giao thức này huy động được 7 triệu USD trong một vòng “ươm mầm” do các quỹ True Ventures, CMS Holdings, Alameda Research và Hashed đồng dẫn đầu.
Dự án ban đầu được xây dựng trên Binance Smart Chain nhưng được cho là có kế hoạch mở rộng chức năng sang cả các nền tảng khác như Ethereum và Polygon.