- Khai thác khoản vay nhanh rút 320 nghìn đô la từ hợp đồng cho vay USDC của Moonwell DeFi.
- Kẻ tấn công đổi USDC bị đánh cắp sang DAI; số tiền hiện đang trong ví của họ.
- Các hợp đồng độc hại và TornadoCash đã được sử dụng để thực hiện cuộc tấn công.
Moonwell DeFi, một giao thức cho vay phi tập trung hoạt động trên mạng Optimism, đã bị khai thác khoản vay nhanh, dẫn đến mất mát 320.000 đô la. Kẻ tấn công đã nhắm mục tiêu vào hợp đồng cho vay USDC của giao thức, sử dụng một địa chỉ hợp đồng độc hại được ngụy trang như một “mToken.” Hành động này đã cấp quyền phê duyệt token không được phép, cho phép kẻ tấn công rút tiền từ người dùng Moonwell.
Hệ thống bảo mật của nền tảng DeFi sớm cảnh báo người dùng và đánh dấu các khu vực vi phạm bất hợp pháp, bao gồm các nguồn tài trợ đáng ngờ và hoạt động hợp đồng độc hại. Các nhà điều tra trên chuỗi cũng phát hiện ra rằng ví của kẻ tấn công đã được tài trợ trước thông qua Tornado Cash trên mạng Ethereum và đã đổi chiến lược USDC bị đánh cắp sang DAI. Hiện tại, tài sản bị đánh cắp đang nằm trong ví của kẻ tấn công, khiến việc phục hồi trở nên khó khăn.
Tác động đối với người dùng Moonwell và DeFi là gì?
Khai thác khoản vay nhanh là một mối đe dọa đang gia tăng trong hệ sinh thái tài chính phi tập trung (DeFi). Trong trường hợp này, kẻ tấn công đã khai thác các lỗ hổng hợp đồng thông minh của Moonwell, cho thấy những rủi ro liên tục mà các giao thức phải đối mặt mặc dù đã có các cuộc kiểm toán nghiêm ngặt và biện pháp phòng ngừa. Cuộc khai thác này cho thấy sự cần thiết cấp bách cho các nền tảng DeFi để liên tục giám sát, vá lỗi và nâng cao cơ sở hạ tầng bảo mật của họ.
Tổng thể, không gian DeFi chiếm phần lớn tài sản bị đánh cắp trong quý đầu tiên của năm 2024. Theo sát phía sau là các dịch vụ tập trung bị nhắm mục tiêu nhiều nhất trong quý 2 và quý 3. Một số vụ hack dịch vụ tập trung nổi tiếng nhất bao gồm DMM Bitcoin (tháng 5 năm 2024, 305 triệu đô la) và WazirX (tháng 7 năm 2024, 234,9 triệu đô la).
Đọc thêm: DMM Bitcoin Ngừng Hoạt Động Sau Vụ Hack 320 Triệu Đô, 450K Người Dùng Bị Ảnh Hưởng
Tại thời điểm báo chí, đội ngũ Moonwell chưa đưa ra tuyên bố chính thức về sự cố hoặc khả năng bồi thường cho người dùng. Cuộc tấn công này bổ sung vào danh sách ngày càng tăng các vi phạm DeFi nổi bật trong năm 2024, nơi những kẻ xấu đã liên tục khai thác các lỗ hổng giao thức để trục lợi cá nhân. Các chuyên gia bảo mật đề xuất tăng cường phòng thủ đa lớp, kiểm toán hợp đồng thường xuyên và chiến lược phản ứng sự cố mạnh mẽ để giảm thiểu rủi ro trong tương lai.
Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này chỉ nhằm mục đích thông tin và giáo dục. Bài viết không cấu thành lời khuyên tài chính hoặc bất kỳ loại lời khuyên nào. Coin Edition không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh do việc sử dụng nội dung, sản phẩm hoặc dịch vụ được đề cập. Độc giả được khuyến cáo cẩn trọng trước khi thực hiện bất kỳ hành động nào liên quan đến công ty.
