Tổng quan

Tiếp tục chuỗi Series Audit Workspace. Hôm nay chúng ta cùng GFS Blockchain điểm qua một số dự án nền tảng bị Hask năm 2021. Tổng cộng 169 sự cố hack blockchain đã diễn ra vào năm 2021 với gần 7 tỷ đô la tiền quỹ bị mất. Năm ngoái, tổng giá trị khóa (TVL) trong Defi chỉ có 5% của 273 tỷ đô năm 2021. Sự thay đổi này đánh dấu mức tăng trưởng bùng nổ.

Tổng số tiền bị mất do lỗi bảo mật theo các năm (nguồn SlowMist Hacker)
Tổng số tiền bị mất do lỗi bảo mật theo các năm (nguồn SlowMist Hacker)

Một lý do tại sao các nhà đầu tư đã đổ xô vào các giao thức DeFi là để tìm kiếm lợi nhuận cao hơn. Lãi suất chạm đáy vào năm 2020 không có khuôn khổ rõ ràng để tăng và điều đó khiến các nhà đầu tư phải tìm kiếm các con đường khác để huy động tiền mặt của họ. Khóa tài sản tiền điện tử vào giao thức DeFi và cung cấp thanh khoản cho các dịch vụ như vậy đã trở thành một lựa chọn hấp dẫn, vì nó mang lại lợi nhuận hấp dẫn hơn. Điều gì xảy ra sau đó là sự bùng nổ năng suất canh tác vào năm 2020 đã thịnh hành cho đến năm nay.

 

Tổng số tiền Total Value Locked của các dự án theo Defillama
Tổng số tiền Total Value Locked của các dự án theo Defillama

*** Bài viết này thuộc chuỗi Series Audit Workspace của GFS Blockchain nhằm nghiên cứu từ căn bản tới nâng cao cũng như tốc độ phát triển hiện tại về lĩnh vực Audit – Một mảnh ghép không thể thiếu của bất kỳ Hệ tính thái nào. Tổng hợp các bài viết của Audit Workspace –> Xem tại đây

Hệ sinh thái ETH

Theo Thống kê bị tấn công của SlowMist

  • Tổng số vụ hack trong năm 2021 của hệ sinh thái ETH là 50
  • Tổng số tiền bị mất bởi các hacker blockchain là khoảng: $1,123,339,173
Biểu đồ số tiền bị hacked năm 2021 của HST ETH (nguồn SlowMist Hacked)
Biểu đồ số tiền bị hacked năm 2021 của HST ETH (nguồn SlowMist Hacked)

Curve DAO Token (CRV)

  • Ngày: 11/11/2021
  • Mô tả sự kiện: Giao thức giao dịch stablecoin Curve đã gây ra thiệt hại cho người dùng cung cấp thanh khoản USDM do “cuộc tấn công quản trị” của giao thức stablecoin USDM Mochi
  • Số tiền bị mất: $30.000.000
  • Phương pháp tấn công: Sử dụng Convex để khởi động một cuộc tấn công quản trị trên Curve

Cream Finance (CREAM)

  • Ngày: 27/10/2021
  • Mô tả sự kiện: Theo báo cáo của The Block, Cream Finance, thỏa thuận cho vay DeFi, đã bị tấn công và mất khoảng 130 triệu đô la Mỹ. Các khoản tiền bị đánh cắp chủ yếu là mã thông báo Cream LP và các mã thông báo ERC-20 khác.
  • Số tiền bị mất: $130.000.000
  • Phương thức tấn công: Tấn công cho vay nhanh (Flash loan attack)

Alpha Finance (ALPHA)

  • Ngày: 23/10/2021
  • Mô tả sự kiện: Những giả định ngầm này trên Uniswap V2 đã dẫn đến 20 địa chỉ trên Alpha Homora V2 bị ảnh hưởng và mất tổng cộng 40,93 ETH cho những người khai thác đã trích xuất giá trị này.
  • Số tiền bị mất: 40,93 ETH
  • Phương thức tấn công: Sandwich attack

Compound (COMP)

  • Ngày 30/09/2021
  • Mô tả sự kiện:, Compound một giao thức cho vay phi tập trung, đã xác nhận thông qua Twitter rằng sau khi thực hiện Đề xuất 062, việc khai thác thanh khoản của giao thức có sự phân phối bất thường của các mã thông báo COMP.
  • Số tiền bị mất: $ 80.000.000
  • Phương thức tấn công: Cài đặt ban đầu của tỷ lệ phân phối mã thông báo bị sai

DAO Maker (DAO)

  • Ngày: 04/09/2021
  • Mô tả sự kiện: Theo tình báo của khu vực sương mù chậm, hợp đồng Vesting của DAO Maker đã bị tin tặc tấn công. DeRace Token (DERC), Coins Payment (CPD), Capsule Coin (CAPS), Showcase Token (SHO) đều sử dụng hệ thống phân phối của Dao Maker và hợp đồng DAO Maker bị tấn công khi chủ sở hữu được phát hành (SHO) trong DAO Maker, nghĩa là , có lỗ hổng trong hệ thống phân phối của những người tham gia SHO: init không được khởi tạo bảo vệ, kẻ tấn công khởi tạo các tham số chính của init và thay đổi chủ sở hữu đồng thời, sau đó đánh cắp mã thông báo mục tiêu thông qua khẩn cấp Exit và trao đổi nó thành DAI
  • Số tiền bị mất: $ 4,000,000
  • Phương thức tấn công: Khởi tạo chưa được xác thực (Initialize unauthenticated)

Hệ sinh thái BSC

Theo Thống kê bị tấn công của SlowMist

  • Tổng số vụ hack trong năm 2021 của hệ sinh thái BSC là 44
  • Tổng số tiền bị mất bởi các hacker blockchain là khoảng: $657,530,241
Biểu đồ số tiền bị hacked năm 2021 của HST BSC (nguồn SlowMist Hacked)
Biểu đồ số tiền bị hacked năm 2021 của HST BSC (nguồn SlowMist Hacked)

Lever

  • Ngày: 27/11/2021
  • Mô tả sự kiện: Lever, một giao thức giao dịch ký quỹ phi tập trung dựa trên AMM, đã bị tấn công bởi các khoản vay chớp nhoáng. Theo tuyên bố chính thức, Lever đã tấn công hợp đồng A để vay 2.100 BNB từ PancakeSwap và gửi 2.000 BNB vào kho tiền BNB của Lever. Sau đó, mượn 1500 BNB từ kho tiền Lever’s BNB và chuyển nó sang Lever Attack Contract B. Lever Attack Contract B đã gửi 1500 BNB và sử dụng nó để tiêu thụ 32,78 ETH, 1,068,05 BAKE, 167,25 XVS, 1,042,89 DAI, 674,360 USDT. BTC, 1.930.01 CAKE, 463.0078 DOT và 332.9184 WBNB. (Tính theo giá thị trường hiện tại, tổng thiệt hại tương đương 652.941,949 đô la Mỹ).
  • Số tiền bị mất: $ 652,941,949
  • Phương thức tấn công: Tấn công cho vay nhanh (Flash loan attack)

Synapse Protocol

  • Ngày: 07/11/2021
  • Mô tả sự kiện: Giao thức chuỗi chéo Synapse Protocol cập nhật tiến trình của cuộc tấn công cầu xuyên chuỗi. Giao thức này sẽ không xử lý các giao dịch của tin tặc và tất cả Synapsen USD sẽ được trả lại đầy đủ cho các nhà cung cấp thanh khoản bị ảnh hưởng. Cầu nối chuỗi chéo tài sản được khởi chạy bởi giao thức chuỗi chéo Synapse Protocol đã bị nghi ngờ có sơ hở. Kẻ tấn công đã quản lý để thao túng giá của nUSD và kiếm được khoảng 8 triệu đô la Mỹ từ nó.
  • Số tiền bị mất: $ 8.000.000
  • Phương thức tấn công: Thao túng giá nUSD

bZx Protocol (BZRX)

  • Ngày: 05/11/2021
  • Mô tả sự kiện: Nền tảng cho vay giao dịch ký quỹ bZx đã tweet rằng các khóa riêng kiểm soát việc triển khai Polygon và Binance Smart Chain (BSC) dường như đã bị rò rỉ, dẫn đến mất tiền. Bản thân hợp đồng thông minh bZx không bị xâm phạm và việc triển khai, quản trị và kho tiền DAO của Ethereum không bị ảnh hưởng bởi sự cố này.
  • Số tiền bị mất: $ 55.040.167
  • Phương thức tấn công: Rò rỉ khóa cá nhân

BXH

  • Ngày: 30/10/2021
  • Mô tả sự kiện: BXH giao thức giao dịch phi tập trung đã tweet rằng tài sản của giao thức trên chuỗi Binance Smart Chain (BSC) đã bị tấn công.
  • Số tiền bị mất: $ 139.195.315
  • Phương thức tấn công: Rò rỉ khóa cá nhân

SQUID

  • Ngày: 01/11/2021
  • Mô tả sự kiện: Theo báo cáo, dự án BSC SQUID, cùng tên với bộ phim truyền hình nổi tiếng của Hàn Quốc “Squid Game”, bị nghi ngờ đang hoạt động hoặc bị tấn công, với thiệt hại ước tính khoảng 12 triệu USDT. Theo dữ liệu, trang web chính thức của bên dự án hiện tại không thể mở được; tất cả các mã thông báo trong nhóm cầm cố Pancake hiện tại đã được chuyển đến địa chỉ: 0x71D934Aa2119CA3995F702f075d540f7A6b0f728 thông qua hai giao dịch. Giá trị băm của một trong các giao dịch trên BSC là: 0xf7c9d0e5a81999f9e06fe78df7ce41da112d8bd4f2da7b16cfdbbe46c92cb6af. Địa chỉ để bắt đầu giao dịch rút mã thông báo là 0x614826D885FF973324a5C3f43369d7C413a88aea. Ngoài ra, các nhà giao dịch từ địa chỉ 0x1f5eabba9c56bca4a7828969b79bc87051125b31 đã bán mã thông báo SQUID để chuyển BNB trong cặp giao dịch trong Pancake đến: 0x71D934Aa2119CA3995F702f075d540f7A6b0f728. Nguồn khí ban đầu cần thiết cho các giao dịch trên đến từ ứng dụng trộn tiền tệ Tornado.Cash.
  • Số tiền bị mất: $ 12.000.000
  • Phương thức tấn công: Scam

pNetwork (PNT)

  • Ngày: 19/09/2021
  • Mô tả sự kiện: Giao thức chuỗi chéo pNetwork đã phát hành một báo cáo phân tích để phản ứng lại cuộc tấn công trước đó dẫn đến việc đánh cắp 277 BTC, nêu rõ rằng vào lúc 17:20 UTC ngày 19 tháng 9 năm 2021, hệ thống pNetwork đã bị tin tặc tấn công người đã tấn công nhiều cầu pToken. Bao gồm pBTC-on-BSC, TLOS-on-BSC, PNT-on-BSC, pBTC-on-ETH, TLOS-on-ETH và pSAFEMOON-on-ETH. Tuy nhiên, tin tặc chỉ xuyên chuỗi cầu nối trong pBTC-on-BSC. Cuộc tấn công đã thành công và 277 BTC đã bị đánh cắp từ tài sản thế chấp pBTC-on-BSC. Các cầu pToken khác không bị ảnh hưởng và tiền vẫn an toàn. Ngoài ra, vì địa chỉ của hacker đã được báo cáo cho sàn giao dịch, nên số tiền bị đánh cắp vẫn nằm trên địa chỉ BTC của hacker và không có chuyển khoản nào xảy ra.
  • Số tiền bị mất: 277 BTC
  • Phương thức tấn công: Các lỗ hổng mã (Code vulnerabilities)

Hệ sinh thái Polygon

Theo Thống kê bị tấn công của SlowMist

  • Tổng số vụ hack trong năm 2021 của hệ sinh thái Polygon là 6
  • Tổng số tiền bị mất bởi các hacker blockchain là khoảng: $ 51,578,349
Biểu đồ số tiền bị hacked năm 2021 của HST Polygon (nguồn SlowMist Hacked)
Biểu đồ số tiền bị hacked năm 2021 của HST Polygon (nguồn SlowMist Hacked)

PolyYeld Finance (YELD)

  • Ngày: 28/07/2021
  • Mô tả sự kiện: Thỏa thuận canh tác lợi nhuận PolyYeld Finance bị tấn công. Hợp đồng dự án đã được sử dụng để đúc 4,9 nghìn tỷ YELD token và bán chúng trên thị trường thứ cấp. Hiện tại, CoinGecko cho thấy giá YELD đã trở về 0.
  • Số tiền bị mất: 4,900,000,000,000 YELD
  • Phương pháp tấn công: Vấn đề tương thích với mã thông báo giảm phát

PancakeBunny (BUNNY)

  • Ngày: 17/07/2021
  • Mô tả sự kiện: Công ty tổng hợp doanh thu DeFi PancakeBunny đã tweet rằng phiên bản của nó trên Polygon đã bị tấn công bởi những người bên ngoài và đã đình chỉ tất cả các Polygon Sushi Vaults. Theo các quan chức, hầm Đa giác, hầm BSC PancakeBunny và BUNNY hiện đang an toàn. Kẻ tấn công đã kiếm được lợi nhuận là 1281 WETH.
  • Số tiền bị mất: $ 2,402,462
  • Phương thức tấn công: Tấn công cho vay nhanh

Helios

  • Ngày: 12/07/2021
  • Mô tả sự kiện: Chuỗi đa giác dự án DeFi helios chạy tắt.
  • Số tiền bị mất: 1.446.704 USD
  • Phương thức tấn công: Scam

EasyFi (EASY)

  • Ngày: 19/04/2021
  • Mô tả sự kiện: Ankitt Bò tót, người sáng lập và Giám đốc điều hành của giao thức cho vay EasyFi (EASY) lớp 2 DeFi cho biết, “Vào ngày 19 tháng 4, các thành viên trong nhóm đã báo cáo rằng một số lượng lớn mã thông báo EASY đã được chuyển từ ví EasyFi chính thức sang mạng Ethereum và một số ẩn số trên mạng Đa giác. Ví tiền. Ai đó có thể đã tấn công khóa quản lý hoặc ký ức. Tin tặc đã lấy được thành công khóa quản trị viên và chuyển 6 triệu đô la tiền thanh khoản hiện có dưới dạng USD / DAI / USDT từ nhóm giao thức và chuyển 298 mười nghìn mã thông báo DỄ DÀNG (khoảng 30% tổng nguồn cung mã thông báo DỄ DÀNG, hiện có giá trị với giá 40,9 triệu đô la Mỹ) đã được chuyển vào ví của kẻ bị nghi ngờ là tin tặc (0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37). “
  • Số tiền bị mất: $ 46,900,000
  • Phương thức tấn công: Rò rỉ khóa cá nhân

Kết luận

Bốn lý do chính khiến các giao thức Defi bị tấn công bao gồm lỗi mã hóa, sự kém cỏi của nhà phát triển, sử dụng sai giao thức của bên thứ ba và lỗi logic nghiệp vụ. Phổ biến nhất trong số này và có thể nguy hiểm nhất là sự kém cỏi của nhà phát triển, đây cũng là hậu quả trực tiếp của những sai lầm khi viết mã. Các nhà phát triển không đủ năng lực vội vàng khởi chạy một dự án mà không có sự kiểm tra nghiêm ngặt của bên thứ ba có thể dẫn đến các giao thức dễ bị lợi dụng hơn.

Đây là lý do tại sao liên tục thúc đẩy một biện pháp bổ sung trong việc cải thiện các giao thức bảo mật trong ngành Kiểm toán, đặc biệt là kiểm toán bảo mật hợp đồng thông minh và kiểm toán thứ cấp. Đây là hai cách giúp các dự án giảm thiểu được rủi ro.

*** Hãy cùng theo dõi sự phát triển của lĩnh vực Audit trong thị trường Crypto qua các bài viết cập nhật sau này cùng GFS Blockchain thông qua chuyên đề Audit Workspace -> Tại đây

Hy vọng với những thông tin trên sẽ giúp các bạn có cái nhìn tổng quan về mảng Audit trong thị trường Crypto. GFS Blockchain sẽ liên tục cập nhật thông tin mới về thị trường, mọi người hãy theo dõi thường xuyên chuyên mục thông tin dự án tại website và đừng quên tham gia vào nhóm cộng đồng của GFS để cùng thảo luận, trao đổi kiến thức và kinh nghiệm với các  thành viên khác nhé.