Lỗ hổng trên Blockchain Base dẫn đến việc đánh cắp 1 triệu đô la
Một lỗ hổng bảo mật trên blockchain Base đã khai thác các lỗ hổng trong các hợp đồng cho vay chưa được xác minh, dẫn đến việc đánh cắp 1 triệu đô la và gây lo ngại về bảo mật DeFi.
Một lỗ hổng khai thác các hợp đồng cho vay chưa được xác minh trên blockchain Base đã dẫn đến việc đánh cắp khoảng 1 triệu đô la.
Sự cố kéo dài trong vài giờ đã được một công ty bảo mật blockchain báo cáo qua một bài đăng trên mạng xã hội vào ngày 25 tháng 10.
Kẻ tấn công đã lợi dụng một lỗ hổng trong các hợp đồng thông minh liên quan đến Wrapped Ether (WETH), thao túng giá cả và sau đó rút cạn các quỹ.
Hình ảnh: Cảnh báo bảo mật blockchain
Chi tiết về Thao túng Giá
Giao dịch đầu tiên đáng ngờ của kẻ tấn công đã rút $993,534 từ các hợp đồng cho vay chưa được xác minh trên blockchain Base.
Phần lớn số tiền bị đánh cắp đã được chuyển sang mạng Ethereum, với $202,549 được gửi vào dịch vụ bảo mật riêng tư Tornado Cash. Thêm $455,127 cũng bị đánh cắp bằng cách sử dụng cùng một lỗ hổng.
Trong một tuyên bố bằng văn bản, một cán bộ bảo mật cấp cao đã giải thích về lỗ hổng:
“Oracle được sử dụng bởi các hợp đồng này không mạnh mẽ, chỉ dựa vào một cặp với tính thanh khoản hạn chế khoảng $400K, khiến nó dễ bị thao túng giá.”
Hàm ý về Bảo mật và Biện pháp Phòng ngừa
Sự cố này nhấn mạnh những rủi ro tiềm ẩn trong các nền tảng tài chính phi tập trung (DeFi) không thực hiện các biện pháp bảo mật mạnh mẽ.
Cán bộ bảo mật đề xuất rằng việc sử dụng “một oracle đáng tin cậy hơn, đa dạng hóa với tính thanh khoản cao hơn” có thể ngăn chặn các cuộc tấn công như vậy, đặc biệt là đối với các tài sản như WETH.
“Tăng cường kiểm tra kỹ lưỡng cho việc xác minh hợp đồng cho vay, đặc biệt là trên các oracle được sử dụng, có thể giảm thiểu các rủi ro này.”
Trách nhiệm cho Lỗ hổng
Cán bộ bảo mật lưu ý rằng “kẻ tấn công đã trốn thoát” với số tiền bị đánh cắp bằng cách khai thác “lỗ hổng thao túng giá”.
“Trách nhiệm có lẽ thuộc về thực thể quản lý các hợp đồng cho vay chưa được xác minh, cũng như những người chịu trách nhiệm lựa chọn một oracle không đủ bảo mật để xác minh giá.”
Kẻ tấn công vẫn chưa được xác định và đã thành công trong việc trốn thoát với số tiền bị đánh cắp.
Sự kiện này nhấn mạnh nhu cầu cấp bách đối với các nền tảng DeFi để nâng cao các giao thức bảo mật của họ nhằm bảo vệ quỹ của người dùng và đảm bảo việc xác minh hợp đồng kỹ lưỡng để ngăn chặn các sự cố tương tự trong tương lai.
Theo Cointelegraph
Tin khác
