Giao thức DeFi Trusted Volumes bị tấn công, thiệt hại 5,9 triệu USD

Theo công ty bảo mật blockchain PeckShield, giao thức tài chính phi tập trung Trusted Volumes đã mất khoảng 5,9 triệu USD tài sản kỹ thuật số sau khi kẻ tấn công khai thác một lỗ hổng nghiêm trọng trong hợp đồng thông minh của mình.

"Phân tích của chúng tôi cho thấy vụ hack là do lỗi logic trong hàm fillOrder của giao thức, cho phép kẻ tấn công vượt qua xác thực chữ ký," người phát ngôn của PeckShield cho biết trong báo cáo hậu sự kiện. Công ty bảo mật blockchain SlowMist cũng đã xác nhận chi tiết về vụ tấn công.

Tổng giá trị bị rút từ nhà cung cấp thanh khoản cho mạng 1inch bao gồm 1.291 ETH (3,02 triệu USD), 16,94 WBTC (1,37 triệu USD), 1,26 triệu USDC và 206.000 USDT. Dữ liệu trên chuỗi cho thấy kẻ tấn công ngay lập tức bắt đầu rửa tiền, chuyển đổi stablecoin và WBTC thành 2.513 ETH thông qua một sàn giao dịch phi tập trung.

Sự cố này làm nổi bật các rủi ro bảo mật tiềm ẩn trong các giao thức DeFi sử dụng cơ chế Yêu cầu báo giá (RFQ), vốn yêu cầu quyền truy cập rộng rãi từ người dùng để di chuyển tiền. Mặc dù số tiền này không gây đe dọa mang tính hệ thống, nhưng nó làm suy giảm niềm tin của người dùng và củng cố định kiến về rủi ro cao xung quanh các dự án DeFi nhỏ hơn, ít được kiểm toán hơn.

Cuộc tấn công đã diễn ra như thế nào

Trusted Volumes hoạt động như một bàn giao dịch phi tập trung ngoài sàn (OTC) sử dụng hệ thống RFQ, tạo điều kiện thuận lợi cho giao dịch ngang hàng. Trong mô hình này, một "taker" yêu cầu báo giá và một "maker" cung cấp báo giá đó. Cả hai bên ký vào đơn hàng, sau đó đơn hàng được giải quyết bởi một hợp đồng thông minh. Bảo mật của toàn bộ hệ thống này phụ thuộc vào việc xác thực chữ ký mật mã hoàn hảo.

Kẻ tấn công đã tìm thấy một lỗ hổng trong logic xác thực chữ ký của hàm fillOrder. Điều này cho phép chúng giả mạo các đơn đặt hàng giao dịch mà không có sự cho phép thích hợp, rút tiền mà người dùng đã chấp thuận cho giao thức quản lý một cách hiệu quả. Sàn giao dịch phi tập trung 1inch, nơi sử dụng Trusted Volumes làm nhà cung cấp thanh khoản, xác nhận hệ thống của chính họ không bị ảnh hưởng bởi vụ vi phạm.

Vụ khai thác này là một lời nhắc nhở rõ ràng về những mối đe dọa thường trực trong không gian DeFi. Khi những kẻ tấn công ngày càng tinh vi hơn, nhu cầu kiểm toán mã nghiêm ngặt và các thực hành bảo mật tốt nhất ngày càng trở nên quan trọng đối với các giao thức xử lý tiền của người dùng.

Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.