Trong thông báo tuần này, Thanh Nguyễn, Đồng sáng lập của Verichains sẽ phát biểu tại GM Việt Nam, chia sẻ hiểu biết sâu sắc của chúng tôi về nghiên cứu bảo mật MPC.
Trong sự cố tuần trước, thị trường DeFi đã chứng kiến một vụ hack trị giá hàng triệu đô la trên PolyNetwork, thiệt hại lên tới 10.000.000 đô la.
Sự kiện và Đối tác
Verichains x GM Việt Nam
Dẫn đầu GM Việt Nam, sự kiện blockchain hàng đầu của Việt Nam, Verichains đang hợp tác chặt chẽ với Kyros Venture để giáo dục cộng đồng blockchain Việt Nam về tầm quan trọng của bảo mật Web3 thông qua một loạt hội thảo và tham gia diễn thuyết.
Tuần này, Người đồng sáng lập Verichains, Thanh Nguyen, sẽ phát biểu tại GM Việt Nam để chia sẻ chuyên môn của mình về công nghệ MPC trong một phiên có tên: Mở khóa tương lai: Ví chuỗi khối do MPC cung cấp để tăng cường quyền riêng tư và bảo mật.
Hãy tham gia cùng chúng tôi tại GM Việt Nam và nắm bắt những thông tin chi tiết mới nhất từ Đồng sáng lập Verichains vào thứ Sáu, ngày 7 tháng 7 lúc 16:50 theo giờ Việt Nam, tại Trung tâm Hội nghị Thiskyhall Sala - Sofic Tower.
Sự cố tuần trước
🚨 Dự án: Poly Network
⛓️ Chuỗi: Metis, Arbitrum, Avalanche, BSC, Ethereum, Fantom, Gnosis, Heco, OKT, Optimism, Polygon.
💥 Loại: Khóa cá nhân có thể bị xâm phạm
💸 Số tiền thua lỗ: ~$10,000,000 (và còn tiếp tục tăng)
Vào ngày 2 tháng 7 năm 2023, giao thức Poly Network lại bị khai thác, sau cuộc tấn công trước đó vào năm 2021. Trong giai đoạn đầu của cuộc điều tra, người ta phát hiện ra rằng cuộc tấn công xảy ra trong các hợp đồng cầu nối chịu trách nhiệm về tài sản xuyên chuỗi chuyển khoản. Theo điều tra của chúng tôi, một lượng đáng kể các mã thông báo khác nhau đã bị rút khỏi hợp đồng LockProxy bằng cách kích hoạt chức năng verifyHeaderAndExecuteTx của hợp đồng EthCrossChainManager .
Chức năng này kiểm tra tính hợp lệ của tiêu đề từ chuỗi nguồn, được ký bởi một danh sách những người lưu giữ. Tiêu đề chứa gốc trạng thái, sau đó sẽ được sử dụng để xác thực bằng chứng Merkle.
Có vẻ như không có lỗ hổng bảo mật nào trong logic hợp đồng nhưng tài khoản người quản lý đã bị xâm phạm vì địa chỉ tài khoản người quản lý không bị thay đổi trước cuộc tấn công. Tuy nhiên, nhóm Poly Network vẫn chưa xác nhận bất kỳ chi tiết nào liên quan đến vấn đề này.
Cuộc tấn công đã ảnh hưởng đến hơn 58 tài sản trên 11 chuỗi khối, bao gồm Ethereum, BSC, Polygon, Avalanche, Metis, v.v. Tất cả những tài sản này đã được gửi đến ví của kẻ tấn công tại địa chỉ 0xe0Afadad1d93704761c8550F21A53DE3468Ba599 . Theo Beosin Alert, kẻ tấn công đã đổi tài sản bị đánh cắp thành 5.196 ETH (~ 10,1 triệu USD) trên chuỗi khối Ethereum. Tuy nhiên, kẻ tấn công có thể không rút được các mã thông báo khác (~260 triệu đô la) do tính thanh khoản thấp.
🚨 Dự án: ShidoGlobal
⛓️ Chuỗi: BSC
💥 Loại: Kiểm soát ra vào
💸 Số tiền thua lỗ: $240,000
Trong một cuộc tấn công vào tuần trước, một Sàn phi tập trung (DEX) có tên Shido Global đã bị khai thác với giá ~240.000 đô la do một hợp đồng được định cấu hình sai có tên AddRemoveLiquidityForFeeOnTransferToken, chịu trách nhiệm xử lý việc bổ sung tính thanh khoản cho một cặp mã thông báo. Do cấu hình sai này, hợp đồng đã chuyển toàn bộ số dư của nó, bao gồm cả BNB và SHIDOv1 cho kẻ tấn công.
Sau đó, kẻ tấn công đã lợi dụng một tính năng trong ShidoLock để trao đổi mã thông báo SHIDOv1 và SHIDOv2. Bằng cách đó, họ đã có thể kiếm được lợi nhuận từ nhóm mã thông báo SHIDOv2.
Kể từ sau vụ tấn công, Shido đã thừa nhận việc khai thác và một bản sửa lỗi đã được triển khai.
🚨 Dự án: Giao thức Themis
⛓️ Chuỗi: Arbitrum
💥 Loại: Thao túng giá
💸 Số tiền thua lỗ: $370,000
Một dự án DeFi có tên Themis Protocol đã bị khai thác với giá ~370.000 đô la do một lời tiên tri sai sót. Kẻ tấn công đã thực hiện một khoản vay chớp nhoáng để thao túng giá của LP cân bằng. Với ETH đã vay, kẻ tấn công đã thao túng giá LP một cách giả tạo và sau đó tiếp tục vay thêm ETH từ Themis, lợi dụng giá đã thao túng. Lỗ hổng trong lời tiên tri cho phép kẻ tấn công đánh lừa hệ thống, cho phép chúng kiếm lợi từ thao tác này và vay nhiều ETH hơn mức có thể trong các trường hợp bình thường.
Kể từ sau vụ tấn công, Themis Protocol đã thừa nhận việc khai thác và đang giải quyết khoản nợ khó đòi phát sinh bằng cách thêm thanh khoản bị mất trở lại giao thức, đảm bảo an toàn cho thanh khoản của người dùng. Hơn nữa, một kế hoạch bồi thường cũng được đưa ra để hoàn trả cho những người dùng bị ảnh hưởng.
