Một tuần khai thác đáng thất vọng đã để lại một hậu quả tồi tệ tạm thời vào cuối năm 2021, với BadgerDAO và MonoX được niêm yết trên Huobi phải chịu những tổn thất lớn.
Hơn 150 triệu đô la đã bị mất trong tuần này do các vi phạm bảo mật riêng biệt tại các dự án DeFi MonoX và BadgerDAO.
Sàn giao dịch phi tập trung đa chuỗi (DEX) MonoX (MONO) đã bị tấn công mạng vào ngày 30 tháng 11 dẫn đến thiệt hại khoảng 31 triệu đô la. BadgerDAO (BADGER) đã phải chịu một cuộc tấn công từ phía trước được phát hiện vào ngày 2 tháng 12 với ước tính thiệt hại của Badger lên tới hơn 120 triệu đô la.
Nền tảng MonoX DEX đã phải chịu một cuộc tấn công duy nhất vào ngày 30 tháng 11. Trong cuộc tấn công này, một lỗi trong hợp đồng thông minh đã cho phép tồn tại sự khác biệt giữa giá của các tài sản khi được thay đổi theo cách thủ công.
Rekt News giải thích rằng tin tặc có thể tăng giá MONO thông qua hợp đồng thông minh, sau đó mua các tài sản khác từ giao thức với MONO.
Tin tặc đã tạo ra một vòng lặp trong đó giá của tokenOut sẽ ghi đè lên giá của tokenIn, làm tăng giá của MONO qua nhiều lần ‘hoán đổi’.
Nhóm MonoX đã xác nhận nhiều điều như vậy trên một tweet vào ngày 30 tháng 11. Trong một cuộc điều tra được công bố vào ngày 2 tháng 12, tổng thiệt hại được xác nhận là khoảng 31 triệu đô la. Nhóm nghiên cứu đã bổ sung thêm:
Những ngày như hôm qua thật kinh khủng, thực tế phũ phàng là hợp đồng bị lợi dụng và người dùng thua lỗ. Những người ủng hộ chúng tôi đặt niềm tin vào một dự án mới như chúng tôi, và ngày hôm qua chúng tôi đã khiến họ thất vọng.
MONO được niêm yết trên Huobi chỉ năm ngày trước khi xảy ra vụ hack trên MonoX.
Vi phạm bảo mật Badger là một mối đe dọa liên tục đối với người dùng tương tác với nền tảng của Badger DAO hơn là một vụ khai thác lớn.
Người dùng Discord bắt đầu báo cáo các yêu cầu chi tiêu bất thường từ nền tảng Badger và thông báo cho quản trị viên trên phương tiện truyền thông xã hội và trên Discord ngay từ ngày 27 tháng 11.
Quản trị viên Blackbear đã trả lời rằng yêu cầu này là bất thường, nhưng có thể do một lỗi vô hại trong giao diện người dùng (UI).
Lỗi trong giao diện người dùng hóa ra là kẻ tấn công ác ý đang cố gắng ăn cắp tiền từ việc rút tiền của người dùng đó. Chiến thuật tương tự sẽ được sử dụng trên những người dùng ngẫu nhiên trong nhiều ngày, hoặc thậm chí vài tuần trước khi nó bị phát hiện là vi phạm bảo mật.
Theo công ty phân tích blockchain PeckShield, tại thời điểm viết bài, tổn thất từ cuộc tấn công Badger lên tới hơn 120 triệu đô la, bao gồm 2078,76 BTC, 30,27 ibBTC và 151,32 ETH, theo công ty phân tích blockchain PeckShield.
Nhóm Badger đã đang điều tra vấn đề và đã tạm dừng tất cả các hợp đồng thông minh trên giao thức để tránh bất kỳ tổn thất nào tiếp theo.
