Ngày 17/2 vừa qua, hacker đã lấy đi khoảng 182 triệu USD tiền mã hóa từ dự án tài chính phi tập trung (DeFi) Beanstalk Farms - một dự án có mục tiêu cân bằng cung và cầu của nhiều loại tiền mã hóa khác nhau. Vụ tấn công này khai thác hệ thống quản trị bằng “bỏ phiếu” đa số của Beanstalk, vốn cũng là tính năng cốt lõi của nhiều giao thức DeFi khác.
Công ty phân tích blockchain PeckShield là bên phát hiện vụ tấn công này vào ngày 17/2 và ước tính lợi nhuận ròng của hacker là khoảng 80 triệu USD, sau khi trừ đi lượng tiền vay cần để tiến hành vụ tấn công. Sau đó, Beanstalk Farms đã thừa nhận bị tấn công và cho biết đang điều tra vụ việc.
Beanstalk tự mô tả mình là một “giao thức stablecoin phi tập trung dựa trên tín dụng”. Dự án này vận hành hệ thống trong đó người tham gia nhận thưởng bằng cách đóng góp tiền vào một quỹ chung, quỹ này được dùng để duy trì giá trị của một token (“bean”) ở mức gần 1 USD.
Giống nhiều dự án DeFi khác, nhóm phát triển Beanstalk là Publius có thêm vào cơ chế quản trị cho phép người tham gia đồng loạt bỏ phiếu để thay đổi mã nguồn của dự án. Quyền bỏ phiếu của người tham gia tỉ lệ thuận với lượng tiền mã hóa họ sở hữu - một lỗ hổng dẫn đến vụ tấn công.
Hacker đã lợi dụng một sản phẩm DeFi mang tên “khoản vay chớp nhoáng” (“flash loan”) cho phép người dùng vay lượng lớn tiền mã hóa trong khoảng thời gian rất ngắn, chỉ vài phút hoặc thậm chí vài giây. Hình thức vay chớp nhoáng này được đưa ra nhằm cung cấp thanh khoản hoặc giúp người dùng tận dụng cơ hội kiếm lời từ chênh lệch giá, nhưng cũng đồng thời dễ bị khai thác cho mục đích xấu.
Công ty bảo mật blockchain PeckShield cho thấy 80 triệu USD lợi nhuận đã được hacker chuyển vào dịch vụ trộn tiền Tornado Cash. Nguồn: PeckShield.
Theo công ty bảo mật blockchain CertiK, hacker tấn công Beanstalk đã dùng một khoản vay chớp nhoáng thông qua giao thức phi tập trung Aave để vay gần 1 tỷ USD tài sản tiền mã hóa và đổi sang token “bean” để có được 67% quyền bỏ phiếu trong dự án. Với quyền này, hacker sau đó chấp thuận thực hiện mã chuyển tiền sang địa chỉ ví điện tử của mình, ngay lập tức trả lại khoản tiền đã vay và thu lời 80 triệu USD. Toàn bộ quá trình này diễn ra trong chưa đầy 13 giây.
CEO CertiK Ronghui Gu cho biết: “Chúng tôi thấy số các vụ tấn công bằng vay chớp nhoáng đang tăng trong năm nay. Những vụ tấn công kiểu này càng nhấn mạnh tầm quan trọng của quy trình kiểm định bảo mật và việc nhận thức được vấn đề bảo mật khi lập trình liên quan đến Web3.”
Nhóm Publius thừa nhận rằng mình chưa có giải pháp giảm thiểu khả năng xảy ra tấn công bằng vay chớp nhoáng, tuy rủi ro này có thể không rõ ràng cho đến khi một vụ tấn công xảy ra.
Ông Brian Pasfield, CTO của nền tảng cho vay tiền mã hóa Fringe Finance, cho rằng các nền tảng tổ chức quản lý phi tập trung (DAO) cũng có thể tạo ra vấn đề tương tự. Theo ông Pasfield, tuy DAO là một bước cần thiết trong quá trình phi tập trung hóa, cả nhà phát triển và hệ thống quản lý cần nhận thức được những mối nối mới trong hệ thống dễ bị hacker khai thác, đồng thời cân bằng rủi ro một cách thận trọng.
Đối với những nhà đầu tư bỏ tiền vào Beanstalk bị mất tiền lên trong vụ tấn công này, có người mất tới hàng chục nghìn USD, khả năng thu hồi số tiền đã mất là rất thấp do dự án không được đảm bảo bằng vốn đầu tư mạo hiểm. Bên cạnh đó, hacker đã bắt đầu chuyển tiền vào dịch vụ trộn tiền Tornado Cash, với mục tiêu che giấu dòng tiền và địa chỉ ví điện tử nhận tiền cuối.
Tùng Phong (Theo The Verge)
