"Tôi có một khoản tiền điện tử trong Agave và cũng vay thêm trên nền tảng này. Tuy vậy, khi đăng nhập sáng 15/3, toàn bộ tài khoản của tôi giờ đây là khoản nợ hơn 225.000 USD, tất cả đều là tiền vay vốn với lãi suất 100%", Shegenerates, một nhà phát triển blockchain tại New Jersey, nói.
Trên Twitter và các kênh chat Telegram, Discord về tiền điện tử, nhiều người cũng cho biết họ bỗng dưng mắc nợ từ vài nghìn USD đến vài trăm nghìn USD liên quan đến nền tảng tài chính phi tập trung DeFi Agave và Hundred Finance. "Chỉ sau một buổi, tôi bỗng gánh khoản nợ hơn 100.000 USD. Tôi thực sự hoảng loạn vì nó vượt khả năng chi trả", tài khoản Discord có tên Dennis viết.
Agave là nền tảng cho vay trên chuỗi Gnosis, một nhánh của Aave - một trong những giao thức DeFi phổ biến nhất hiện nay và hiện thu hút hơn 9 tỷ USD tiền gửi từ các nhà đầu tư, theo website phân tích Pulse. Trong khi đó, Hundred Finance là dự án cho vay đa chuỗi và là một nhánh của Compound chuyên về ứng dụng tài chính mở.
Hôm 14/3, Agave và Hundred Finance thông báo hệ thống của họ bị tấn công theo hình thức cho vay nhanh "re-entrancy". Theo Fortune, thông thường, người dùng đã xác thực danh tính (KYC) có thể sử dụng các nền tảng DeFi để vay nhanh tiền điện tử, miễn là họ cung cấp tài sản thế chấp hoặc bằng chứng sẽ trả lại khoản vay. Tuy nhiên, các nền tảng trên tồn tại lỗ hổng cho phép hacker xâm nhập và triển khai hợp đồng thông minh giả mạo. Với hợp đồng này, kẻ gian có thể "xoay vòng" để vay liên tục nhiều lần chỉ với một tài sản thế chấp duy nhất. Cuối cùng, chúng sẽ rút hết tiền đã vay và bỏ lại cho các nạn nhân một khoản nợ khổng lồ.
Theo CoinTelegraph, dựa trên phân tích blockchain, tổng thiệt hại của hai nền tảng là 2.100 Ethereum, tương đương 5,5 triệu USD. Hacker sau đó tìm cách rửa tiền thông qua Tornado Cash. Tuy nhiên, trang Blockcrypto cho rằng con số thiệt hại có thể đã vượt 11 triệu USD.
"Agave đang điều tra việc bị khai thác trên giao thức của mình. Các hợp đồng hiện tạm dừng cho đến khi tình hình được giải quyết", Agave viết trên Twitter. Hundred Finance cũng thông báo dừng hệ thống, nhưng cả hai không đề cập đến việc đền bù thiệt hại cho người dùng.
Việc Agave và Hundred Finance bị tấn công chỉ diễn ra một ngày sau khi Deus Finance, một nền tảng phi tập trung cho vay tiền số khác, gặp sự cố với ước tính khoảng 3 triệu USD đã rơi vào tay hacker.
Về phần mình, Shegenerates cho biết cô rất ngạc nhiên trước vụ tấn công vào Agave vì nghĩ nền tảng này "nói chung là an toàn". Tuy vậy, cô không hề đổ lỗi cho Agave, nói chấp nhận các rủi ro khi đầu tư vào tiền điện tử.