Ngân hàng neo-crypto Infini đã bị mất 49,5 triệu USD trong một vụ tấn công mạng, được cho là do một nhà phát triển cũ lạm dụng đặc quyền quản trị.
Kẻ tấn công, người đã từng làm việc trên hợp đồng của Infini, đã lợi dụng đặc quyền của họ sau khi dự án hoàn thành để rút tiền khỏi nền tảng, theo nền tảng phân tích blockchain Cyvers.
Trong một báo cáo được chia sẻ với Decrypt, công ty kiểm toán hợp đồng thông minh QuillAudits xác nhận rằng lỗ hổng này là do "quyền truy cập bị xâm phạm và leo thang đặc quyền", với kẻ tấn công lợi dụng vi phạm khóa riêng để truy cập vào tài khoản bị xâm phạm.
"Hacker đã truy cập được vào khóa riêng liên quan đến tài khoản "0xc4...3e1", báo cáo ghi nhận. "Tài khoản này đã được cấp một vai trò đặc biệt (0x8e0b) cho phép nó rút tiền khỏi két."
Theo kẻ tấn công, họ đã khởi chạy hai giao dịch - 11,45 triệu USD trong giao dịch đầu tiên và 38,06 triệu USD trong giao dịch thứ hai - dẫn đến tổng số tiền bị đánh cắp là 49,5 triệu USD từ Morpho MEVCapital USDC Vault.
Sau đó, số tiền này đã nhanh chóng được hoán đổi từ USD Coin (USDC) sang Dai (DAI) và chuyển đổi thành 17.696 ETH. Sau đó, số tiền được chuyển đến một địa chỉ thứ cấp.
Sau vụ vi phạm, Christian Li, người sáng lập Infini, đã lên Twitter để thừa nhận sự cố và đưa ra lời đảm bảo. Ông nói rằng nhóm đã "bất cẩn khi chuyển quyền trước đó."
"Cuối cùng, tôi chịu trách nhiệm về việc này đã gây ra báo động," Li nói. "Không có vấn đề về thanh khoản... có thể trả đầy đủ bồi thường và số tiền đang được truy tìm."
Mặc dù bị vi phạm, Infini vẫn tiếp tục cho phép rút tiền. Li đảm bảo với người dùng rằng "có thể trả đầy đủ bồi thường" trong trường hợp xấu nhất.
Li bày tỏ hy vọng thu hồi được số tiền bị đánh cắp và đề nghị kẻ tấn công 20% số tiền bị đánh cắp, đảm bảo rằng sẽ không có biện pháp pháp lý nếu số tiền được hoàn trả.
Việc thiếu các kỹ thuật che giấu tiếp theo có nghĩa là tài sản bị đánh cắp vẫn có thể được truy vết, báo cáo của QuillAudits ghi nhận.
Cyvers đã cung cấp một bản phân tích cho biết kẻ tấn công, vẫn giữ quyền quản trị, đã trốn tránh sự phát hiện trong hơn 100 ngày, sau đó chuyển số tiền bị đánh cắp thông qua Coin Mixer dựa trên Ethereum Tornado Cash.
"Sự cố này nêu bật những rủi ro quan trọng của việc giữ lại các đặc quyền quản trị trong các hợp đồng thông minh," Hakan Unal, Nhà khoa học Blockchain cao cấp tại Cyvers Ai, nói với Decrypt. "Trong khi đó, điều này cũng là một lời nhắc mạnh mẽ cho các dự án phải kiểm tra kỹ lưỡng và thu hồi các quyền không cần thiết sau khi triển khai."
Infini đã chia sẻ tuyên bố chính thức của mình vài giờ sau vụ tấn công - cho biết tất cả các giao dịch, bao gồm chuyển khoản, gửi tiền và rút tiền, vẫn không bị ảnh hưởng.
"Chúng tôi rất tiếc vì sự lo lắng này - nhóm của chúng tôi đang làm việc không ngừng nghỉ để điều tra và bảo mật tất cả các hệ thống tại thời điểm này," Infini đã tweet vào thứ Hai.
"Thật frustrating vì đây không phải là những vấn đề mới," nhóm nghiên cứu của QuillAudits nói với Decrypt. "Chúng tôi đã thấy điều này lặp lại nhiều lần, nhưng các dự án vẫn đánh giá thấp tầm quan trọng của việc khóa chặt quyền truy cập."
Nhóm chia sẻ rằng cho đến khi các nhóm bắt đầu coi việc kiểm soát quyền truy cập là "ưu tiên bảo mật cốt lõi", chứ không phải là suy nghĩ sau cùng, thì những vụ tấn công này sẽ tiếp tục xảy ra.
"Không chỉ là về công nghệ tốt hơn; đó là về những thói quen tốt hơn," nhóm nghiên cứu nói.
Vụ vi phạm tại Infini đi kèm với một lỗi khai thác lớn tại sàn giao dịch crypto Bybit, đã chịu một khoản tổn thất lớn 1,4 tỷ USD về Ethereum và các token liên quan vào thứ Sáu tuần trước, đánh dấu một trong những vụ hack lớn nhất trong lịch sử ngành.
Phân tích chuỗi khối tiết lộ Lazarus Group, một nhóm hacker do Triều Tiên tài trợ, đứng sau vụ tấn công.
Phản ứng của Bybit tương tự như của Infini ở một số cách, khi sàn giao dịch quyết định tiếp tục cho phép rút tiền và hứa sẽ bù đắp khoản tổn thất nếu không thể thu hồi được số tiền.
Vụ hack này xảy ra giữa những lo ngại ngày càng tăng về bảo mật trong không gian DeFi, với hơn 2,2 tỷ USD tiền mã hóa bị đánh cắp trong năm ngoái, và 50% số tiền bị đánh cắp liên quan đến các nhóm hacker của Triều Tiên, theo báo cáo của công ty phân tích blockchain Chainlalysis report.
"Số lượng các vụ tấn công hack riêng lẻ đã tăng từ 282 vụ trong năm 2023 lên 303 vụ trong năm 2024," báo cáo cho biết.
Được chỉnh sửa bởi Stacy Elliott.
