Các báo cáo cho thấy bốn công ty bảo mật đã tiến hành 11 cuộc kiểm toán các hợp đồng thông minh của Balancer bắt đầu từ năm 2021, nhưng một kẻ xấu vẫn có thể rút hàng triệu Ether được đặt cược.
Nhiều nhà giao dịch tiền điện tử đang tìm kiếm câu trả lời sau vụ khai thác thành công sàn giao dịch phi tập trung và nhà tạo lập thị trường tự động Balancer khiến hơn 100 triệu đô la tài sản kỹ thuật số bị đánh cắp.
Trong bài đăng trên Monday X cập nhật cho người dùng về lỗ hổng, Balancer cho biết sự cố này “chỉ xảy ra với V2 Composable Stable Pools và không ảnh hưởng đến Balancer V3 hoặc các nhóm Balancer khác”.
Nền tảng này cho biết thêm rằng nó đã “trải qua quá trình kiểm toán rộng rãi của các công ty hàng đầu và đã triển khai chương trình tiền thưởng phát hiện lỗi trong một thời gian dài để khuyến khích các kiểm toán viên độc lập”, đặt ra câu hỏi về cách thức thực hiện hành vi khai thác này.
“Balancer đã trải qua hơn 10 lần kiểm toán”, Suhail Kakar, trưởng nhóm quan hệ nhà phát triển tại blockchain TAC trên X, cho biết . “Kho lưu trữ đã được kiểm toán [ba] lần riêng biệt bởi các công ty khác nhau nhưng vẫn bị hack mất 110 triệu đô la. Không gian này cần phải chấp nhận rằng ‘được kiểm toán bởi X’ gần như không có ý nghĩa gì. Lập trình đã khó, DeFi còn khó hơn.”
Theo danh sách kiểm tra Balancer V2 có trên GitHub, bốn công ty bảo mật khác nhau — OpenZeppelin, Trail of Bits, Certora và ABDK — đã tiến hành 11 lần kiểm tra các hợp đồng thông minh của nền tảng, gần đây nhất là trên nhóm ổn định của Trail of Bits vào tháng 9 năm 2022.
Cointelegraph đã liên hệ với OpenZeppelin để xin bình luận, nhưng chưa nhận được phản hồi tại thời điểm bài viết được đăng. Người phát ngôn của Trail of Bits từ chối bình luận về vụ khai thác này “cho đến khi nguyên nhân gốc rễ được xác định và tất cả các nhánh Balancer đều an toàn.”
Vụ khai thác, được báo cáo vào sáng sớm thứ Hai, đã mang lại hơn 116 triệu đô la giá trị Ether được đặt cược
Giá ETH hiện 3.645 đô la cập nhật theo BingX — bao gồm StakeWise Staked ETH (OSETH), Wrapped Ether (WETH) và Lido wstETH (wSTETH) — đang được chuyển sang một ví mới được tạo. Một nhà phân tích nghiên cứu của Nansen nói với Cointelegraph rằng sự cố Balancer có thể bắt nguồn từ các vấn đề về hợp đồng thông minh có “lỗi kiểm tra truy cập cho phép kẻ tấn công gửi lệnh rút tiền”.
Dự án cung cấp phần thưởng mũ trắng 20% cho việc hoàn trả tiền
Trong một ghi chú giao dịch blockchain gửi đến những kẻ tấn công vào thứ Hai, nhóm Balancer đã đưa ra mức tiền thưởng lên tới 20% số tiền bị đánh cắp nếu toàn bộ số tiền được trả lại trong vòng 48 giờ kể từ khi nhận được thông báo.
Balancer cho biết: “Nếu bạn chọn không hợp tác, chúng tôi đã thuê các chuyên gia pháp y blockchain độc lập và đang tích cực hợp tác với nhiều cơ quan thực thi pháp luật và các đối tác quản lý”.
Tại thời điểm công bố, dự án vẫn chưa công bố bất kỳ thông tin cập nhật bổ sung nào về tiền thưởng hoặc chi tiết về cuộc tấn công.
Nguồn: Cointelegraph
