Cuộc tấn công xảy ra vào ngày 22 tháng 4 trên một dự án DeFi có tên là Zeed. Sau khi lấy được một lượng lớn tiền mã hóa, hacker chuyển sang một “hợp đồng tấn công” thay vì chuyển nó vào ví thông thường. Đây là một hợp đồng thông minh được viết bởi tin tặc, với khả năng tự động thực hiện nhiệm vụ trong thời gian rất ngắn và khả năng tự hủy để rất khó lần ra dấu vết.
Tuy nhiên, blog của Zeed cho biết, 15 giây sau cuộc tấn công, hacker đã kích hoạt tính năng tự hủy của hợp đồng trước khi lấy đi số tiền thu được, khiến các khoản tiền bị khóa trong hợp đồng tấn công mãi mãi, không thể lấy ra được.
Theo hãng bảo mật BlockSec, kẻ tấn công “có thể đã kích hoạt tính năng tự hủy vì phấn khích” trước khi chuyển tiền đi nơi khác. Tra cứu trên công cụ Bscscan, toàn bộ số tiền BUSD tương đương 1,043 triệu USD vẫn còn trên hợp đồng này kể từ khi vụ hack xảy ra.
Tin tặc bán bớt token, khiến giá trị của Yeed gần như bằng không.
Vụ tấn công được coi là quy mô nhỏ và thu hút sự chú ý vì sai lầm ngớ ngẩn của hacker. Tuy nhiên, theo các chuyên gia, sự cố tiếp tục cho thấy sự mất an toàn của nhiều dự án DeFi.
Trong trường hợp của Zeed, tin tặc đã khai thác một lỗ hổng trong giao thức “cho vay nhanh” của dự án. Phương thức này cho phép người dùng vay tiền mà không cần thế chấp để mua và bán mã thông báo, sau đó phải hoàn trả ngay lập tức trong cùng một khối giao dịch và chịu một khoản phí 5%. Khoản phí này lẽ ra phải được chia thành ba phần để thưởng cho các nhà cung cấp thanh khoản. Tuy nhiên, do lỗi của Zeed, hệ thống đã không phân phối phần thưởng, dẫn đến nguồn cung bổ sung gấp ba lần số lượng mã thông báo dự kiến. Tin tặc đã bán bớt mã thông báo này, khiến giá trị của nó gần như bằng không.
Lưu Quý
Tổng hợp: Công Nghệ Chính Nhân
