Ảnh minh họa: BTC66.
Hai dự án tiền điện tử Rari Capital và Fei Protocol đã bị đánh cắp 77 triệu USD vào ngày 30/4, chỉ 5 tháng sau khi hợp nhất, tờ Bloomberg đưa tin. Một tài khoản Twitter chưa được xác minh của Fei Protocol cho biết họ đã nhận được thông báo về vụ tấn công. Sau đó, tweet này đã được xác nhận bởi người sáng lập Fei - Joey Santoro trong một bài đăng trên Discord.
"Chúng tôi đang xác định nguyên nhân gốc rễ và tạm dừng tất cả các giao dịch để giảm thiểu thiệt hại", dòng tweet cho biết. Fei đã đề nghị một khoản tiền thưởng trị giá 10 triệu USD cho hacker nếu họ đồng ý hoàn trả lại số tiền cho người dùng. Tuy nhiên, vẫn chưa có yêu cầu nào được đặt ra.
Trong khi đó, tin tặc đã bắt đầu chuyển tiền điện tử sang Tornado Cash, một dịch vụ cho phép người dùng che giấu các giao dịch. Theo Giám đốc kỹ thuật công ty bảo mật blockchain BlockSec - Lei Wu, đã có khoảng 5.400 Ether được chuyển đến thời điểm hiện tại, trị giá khoảng 15 triệu USD tính theo giá giao dịch gần đây.
Đây là vụ trộm mới nhất nhằm vào dự án DeFi - được thiết lập để cho phép người dùng bỏ qua các trung gian truyền thống để giao dịch tài sản kỹ thuật số với tính năng ẩn danh. Tháng 2, tin tặc đã trộm được số tiền 320 triệu USD sau một cuộc tấn công vào Wormhole - cầu nối giao tiếp giữa chuỗi khối Solana và các mạng DeFi khác.
BlockSec cho biết in tặc đã tấn công vào “reentrancy vulnerability” (lỗ hổng tái diễn). Cuộc tấn công dạng này thường xảy ra khi hợp đồng thông minh của giao thức thực hiện lệnh với smartcontract bên ngoài.
Sau đó, tín hiệu trả lại của hợp đồng ngoài giao thức sẽ tìm cách khai thác lỗ hổng trong lập trình của lệnh gửi đi. Nhà phát triển tiền số Moralis cho biết vụ hack The DAO 2016 là một trong những trường hợp tiêu biểu nhất của phương pháp tấn công này.
DeFi bị tấn công đã làm dấy lên lo ngại về các vụ trộm tiền điện tử trong tương lai. Mới đây, một vụ trộm tiền ảo nữa đã lại diễn ra. Dự án tiền số có tên Beanstalk đã bị hacker tấn công và lấy đi số tiền ảo trị giá 182 triệu USD, theo Wall Street Journal. Nghiêm trọng hơn, toàn bộ số Ether của dự án đã bị mất sau vụ tấn công.
Vụ tấn công Beanstalk là vụ trộm tiền điện tử lớn thứ 5 trong lịch sử, theo Rekt.news, trang chuyên theo dõi các vụ hack tiền điện tử. Trước Beanstalk, Axie Infinity, game tiền ảo do kì lân của Việt Nam, Sky Mavis phát triển cũng đã bị tấn công. Hôm 29/3, Ronin, nền tảng blockchain vận hành game tiền ảo Axie Infinity bất ngờ phát hiện bị hacker tấn công và lấy đi số tiền ảo trị giá hơn 600 triệu USD.
Vụ việc đã xảy ra hôm 23/3 và gần một tuần sau mới được phát hiện. Hacker đã tấn công vào Ronin Bridge với giá trị khoảng 173.600 Ether và 25,5 triệu giá trị token USDC bằng hai giao dịch.
Theo Rekt, dù số lượng vụ tấn công các dự án tiền ảo không tăng so với năm ngoái nhưng số tiền bị đánh cắp đang tăng lên. Kể từ tháng 8, đã có 37 vụ hack trong 38 tuần, số tiền thiệt hại rơi vào khoảng 2,9 tỷ USD tiền điện tử. Công ty phân tích Chainalysis cho biết con số này ngang bằng với 3,2 tỷ USD bị đánh cắp trong cả năm 2021.
Trong bối cảnh ngày càng có nhiều dự án DeFi (tài chính phi tập trung) ra đời, các tin tặc đang tìm cách khai thác những "mỏ vàng" này. Max Galka, CEO công ty pháp y tiền điện tử Elementus cho biết, tin tặc có xu hướng nhắm mục tiêu vào các giao thức mới chưa được kiểm tra và hiệu chỉnh đầy đủ.
Bản chất mã nguồn mở của các dự án DeFi là một lý do biến nó thành con mồi hấp dẫn đối với hacker. Chainalysis cho biết tin tặc có thể dành thời gian kiểm tra mã để tìm kiếm điểm yếu. Ngay cả những nền tảng đã kiểm tra mã vẫn có thể bị tấn công.
