Trong bản tóm tắt tuần này, cuộc điều tra của Verichains tiết lộ nguyên nhân gốc rễ của việc rút tấm thảm Merlin DEX trị giá 1,8 triệu đô la gần đây, sự kiện này đã khiến nhà cung cấp dịch vụ bảo mật được chú ý và cân nhắc cẩn thận mà chủ dự án nên thực hiện khi quyết định đối tác bảo mật của họ.
Đối với các sự cố trong tuần này, thị trường DeFi đã mất hơn 1,9 triệu đô la do các vụ hack.
Làm thế nào nó mở ra
Vào ngày 26 tháng 4 năm 2023, Wu Blockchain đã báo cáo về một vụ tấn công bị cáo buộc nhằm vào một sàn giao dịch phi tập trung (DEX) zkSync có tên Merlin, trích dẫn Certik là kiểm toán viên bảo mật của DEX.
Đáp lại, kiểm toán viên cho rằng sự cố là do vấn đề quản lý khóa riêng thay vì khai thác bảo mật. Merlin đã nhanh chóng thừa nhận sự cố trên Twitter, kêu gọi người dùng thu hồi quyền truy cập trang web được kết nối trên ví/quyền ký tên của họ.
Khi tình hình đang phát triển và nhiều thông tin được chia sẻ, cộng đồng tiền điện tử nói chung vẫn chưa rõ chuyện gì đã xảy ra và bắt đầu suy đoán về nguyên nhân gốc rễ của vụ việc.
Verichains điều tra độc lập
Được dẫn dắt bởi người đồng sáng lập Thanh Nguyen của chúng tôi, các nhà nghiên cứu bảo mật của Verichains đã ngay lập tức nhận ra tình huống này và mở một cuộc điều tra độc lập để xác định nguyên nhân gốc rễ.
Trước khi thảo luận về kết quả, cần phải hiểu kiến trúc của DEX. Merlin DEX là một nhánh của giao thức Uniswapv2 trong đó mỗi cặp LP là một mã thông báo ERC20 chứa tài sản cho nhóm AMM. Trong giao thức UniswapV2, cặp này sẽ chuyển một khoản phí cho người nhận phí Nhà máy mỗi khi chức năng hoán đổi được thực thi.
Cuộc điều tra của chúng tôi về Merlin DEX cho thấy một cặp mã “cửa hậu” tại L87-88 cho phép phíTo của MerlinFactory chuyển tất cả tài sản trong cặp, ngoài phí trong chức năng hoán đổi. Theo đánh giá của chúng tôi, không có trường hợp sử dụng nào yêu cầu phê duyệt các mã này và chúng là một rủi ro bảo mật rõ ràng.
Nói chung, lỗ hổng cửa hậu có thể được triển khai một cách cố ý hoặc vô tình vào mã của một người, được sử dụng để giành quyền truy cập trái phép, thao túng chuỗi khối hoặc trong trường hợp này là đánh cắp tiền.
Những phát hiện này đã được chia sẻ trên tài khoản Twitter của người đồng sáng lập của chúng tôi, tài khoản này đã lan truyền nhanh chóng và được nhiều hãng tin khác nhau đăng tải:
Chuỗi khối Wu: https://twitter.com/WuBlockchain/status/1651153245363109889?s=20
Cointelegraph: https://cointelegraph.com/news/certik-zksync-to-launch-compensation-plan-for-2m-merlin-dex-exploit
Hậu quả
Khi tin tức về cửa hậu thu hút nhiều sự chú ý hơn từ cộng đồng tiền điện tử, Merlin DEX đã tweet một cuộc khám nghiệm tử thi 12 giờ sau sự cố, thừa nhận việc khai thác và cáo buộc rằng 3 thành viên trong nhóm phụ trợ của họ đã gian lận sửa đổi mã để bao gồm cửa hậu và sử dụng nó để rút hết hợp đồng của DEX.
Merlin DEX cũng đề cập đến “sự giám sát của nhà cung cấp bảo mật đối với quyền lực bao trùm mà chủ sở hữu có đối với các nhóm.” Tình hình liên quan đến kế hoạch bồi thường cho các nạn nhân bị ảnh hưởng của Merlin và Certik vẫn đang phát triển.
Sự cố này sẽ nhắc nhở các dự án và người dùng tiền điện tử về tầm quan trọng của việc thực hiện thẩm định khi nói đến việc kiểm tra một nhà cung cấp bảo mật.
Tại Verichains, chúng tôi là một công ty bảo mật độc lập nhằm thúc đẩy sự thật và minh bạch trong thị trường tiền điện tử.
Sự cố tuần trước
🚨 Dự án: AutoDonateUkraine
⛓️ Chuỗi: BSC
💥 Loại: Mã thông báo phản chiếu
💸 Số tiền thua lỗ: $7,000
Một dự án mã thông báo có tên AutoDonateUkraine đã bị một cuộc tấn công flashloan với giá 7.000 đô la. Kẻ tấn công đã sử dụng chức năng "phân phối" để tăng số lượng $ADU trong cặp và sau đó rút phần thừa $ADU bằng cách sử dụng chức năng "hớt váng". Bằng cách lặp lại thao tác này nhiều lần, kẻ tấn công có thể làm mất cân bằng giá trong cặp và kiếm được 22 $WBNB từ cặp.
🚨 Dự án: Never Fall
⛓️ Chuỗi: BSC
💥 Loại: Thao túng giá
💸 Số tiền thua lỗ: $74,000
Một dự án có tên Never Fall trên BSC cũng bị tấn công flashloan, dẫn đến thiệt hại 74.000. Cuộc tấn công liên quan đến một khoản vay flash trị giá 1,6 triệu BUSD, với 200 nghìn BUSD được sử dụng để mua 75,5 triệu mã thông báo Never Fall thông qua chức năng mua trong hợp đồng Never Fall. Chức năng mua đã bổ sung tính thanh khoản với 90% BUSD được gửi bởi người dùng và Never Fall trong hợp đồng, đồng thời hoán đổi số BUSD còn lại trong cặp. 1,4 triệu BUSD còn lại đã được đổi thành Never Fall trong nhóm BUSD-Never Fall. Sau đó, kẻ tấn công đã bán Never Fall đang nắm giữ thông qua chức năng bán, chức năng này sẽ gửi cho người dùng BUSD được thêm vào sau khi thanh khoản bị xóa khỏi hợp đồng.
