Novax , một dự án tài chính phi tập trung (DeFi) trên Binance Smart Chuỗi, đã bị khai thác vào ngày 14 tháng 8 năm 2024, gây ra thiệt hại ước tính khoảng 25.000 đô la. Sự cố này làm nổi bật các lỗ hổng trong cơ chế oracle và Staking của giao thức, nhấn mạnh nhu cầu về các biện pháp bảo mật mạnh mẽ hơn trong các dự án DeFi .
Tổng quan
Kẻ tấn công:
Cảm ơn bạn đã đọc Verichains! Đăng ký miễn phí để nhận bài đăng mới và ủng hộ công việc của tôi.
https://bscscan.com/address/0x81ca56b6973ff63e3ff2b3f99cb6a6d211269e79
Hợp đồng dễ bị tổn thương:
https://bscscan.com/address/0x55c9eebd368873494c7d06a4900e8f5674b11bd2
Tấn công giao dịch: https://bscscan.com/tx/0xb1ad1188d620746e2e64785307a7aacf2e8dbda4a33061a4f2fbc9721048e012
Phân tích khai thác
Cuộc tấn công diễn ra rất đơn giản: kẻ tấn công đã sử dụng Khoản vay nhanh để vay USDT từ cặp USDT-BUSD, mua token NovaX, đặt cược một nửa số dư NovaX, bán nửa còn lại rồi rút tiền.
Hợp đồng cho phép Staking và rút token NovaX ngay lập tức, khai thác thao túng giá. Chúng tôi đã xem xét logic Staking và rút tiền:
Logic Stake ghi lại số lượng token NovaX được đặt cược, dựa trên mức giá do Oracle cung cấp.
Tuy nhiên, Oracle tính toán giá dựa trên lượng dự trữ token trong cặp, chia số lượng Token A cho Token B, giúp dễ dàng thao túng bằng Khoản vay nhanh.
Tương tự như vậy, hàm rút tiền tính toán số lượng token sẽ nhận được dựa trên giá thời gian thực từ Oracle. Điều này cho phép kẻ tấn công dễ dàng kiểm soát đầu ra và nhận được một số lượng lớn token.
Nguyên nhân gốc rễ của các lỗ hổng này là cả hàm Stake và hàm withdrawal đều tính toán giá trị của số lượng Token dựa trên Oracle không đáng tin cậy.
Sự cố này nhấn mạnh tầm quan trọng của các cơ chế oracle giá mạnh mẽ trong DeFi. Việc dựa vào Oracles dễ bị thao túng, đặc biệt là thông qua Khoản vay nhanh, sẽ dẫn đến các lỗ hổng nghiêm trọng. Để tăng cường bảo mật, hãy khám phá các mạng oracle phi tập trung, triển khai các bộ ngắt mạch và độ trễ thời gian, đồng thời đảm bảo thử nghiệm và kiểm toán toàn diện. Các biện pháp này sẽ củng cố khả năng phục hồi của các dự án DeFi , bảo vệ tài sản của người dùng và duy trì niềm tin vào hệ sinh thái.
