Audit Workspace #6: Top những vụ hack trong thị trường Crypto những tháng đầu năm 2022

Tổng quan

Mặc dù chỉ mới vài tháng đầu năm 2022, nhưng thị trường Crypto đã liên tiếp chứng kiến nhiều vụ hack xảy ra. Chỉ trong vòng vỏn vẹn có vài tháng đầu năm 2022 mà thị trường Crypto đã trải qua 70 vụ hack Blockchain, với tổng số tiền thiệt hại lên đến 669 triệu đô la theo thống kê SlowMist.

Hôm nay hãy cùng GFS điểm qua một số vụ hack blockchain gây chấn động thị trường vào những tháng đầu năm 2022 tại bài viết này nhé!

*** Bài viết này thuộc chuỗi Series Audit Workspace của GFS Blockchain nhằm nghiên cứu từ căn bản tới nâng cao cũng như tốc độ phát triển hiện tại về lĩnh vực Audit – Một mảnh ghép không thể thiếu của bất kỳ Hệ sinh thái nào.

Các vụ hack trong thị trường Crypto những tháng đầu năm 2022

Top những vụ hack hàng đầu trong thị trường crypto

Arbix Finance

04/01/2022, Arbix Finance đã bỏ trốn cùng với số tiền 10.000.000 đô la của nhà đầu tư. Arbix Finance đã tạo nên một dự án chênh lệch giá trên BSC, nơi người dùng có thể gửi tiền vào và nhận được lợi nhuận tốt với rủi ro thấp. Tuy nhiên, vào khoảng 3 giờ sáng ngày 4 tháng 1, dự án đã rút tiền của người dùng từ kho tiền và xoá tài khoản trên trang Web, Twitter, Teleram.

Dego Finance

Dego Finance là một công ty tổng hợp NFT và DeFi, gần đây Dego Finance vừa thông báo rằng mình vừa bị tấn công. Cụ thể, vào 3 giờ sáng ngày 10 tháng 2 năm 2022 theo giờ UTC, nền tảng nhận thấy sự thay đổi bất thường về giá của DEGO trên các sàn DEX và CEX. Các hacker đã rút hết thanh khoản DEGO trên UniSwap và Pancake Swap, đánh cắp 2614,40 BNB, 378,76 ETH và 492.316,41 DEGO. Đồng thời, các hacker đã chiếm đoạt hợp đồng Minting của DEGO và đúc tổng cộng 1.185.164,71 DEGO. Sau cuộc tấn công số tiền tổn thất 10.000.000 đô la.

Bored Bunny

Vào ngày 06/01/2022, dự án NFT Bored Bunny bị nghi ngờ là một dự án Rug Pull. Theo thông tin từ một số cư dân mạng cho biết 2.000 ETH huy động đã được chuyển ra bên ngoài và trong đó có một số đã chuyển đến Binan, với số tiền tổn thất là 2.000 ETH. Hiện tại Bored Bunny’s Discord đã tắt hết tất cả các kênh để thảo luận

#scammer #scammers

昨晚火爆的 #BoredBunny（3D无聊兔）

推特ID:@BoredBunnyNFT
DC:https://t.co/y5z6vjPydp
官网:https://t.co/emZwy23skw
OS:https://t.co/0RE8I9CGTi
合约地址:0x9372b371196751dd2F603729Ae8D8014BbeB07f6

— rnmtq.eth (@0xRNMTQ) January 5, 2022

Blockverse

Blockverse là một trò chơi NFT dựa trên Minecraft. Thông qua OpenSea, các nhà đầu tư có thể mua được các ký tự Blockverse và một loại tiền mã hoá có tên là Diamond. Gần đây, có một số vấn đề đã xảy ra trên nền tảng vào ngày 24/01/2022, cụ thể là một số nhà đầu tư đã rút toàn bộ số toàn đầu tư vào Blockverse, sau đó nền tảng đã đóng cửa và xoá bỏ trang web chính thức của dự án, kể cả Discord và Twitter. Ba ngày sau, những người đồng sáng lập Blockverse đã xuất hiện trên Twitter, chính thức xin lỗi và giải thích về hành động của họ, cuối cùng họ hứa sẽ trở lại và phát triển hơn. Tuy nhiên, dự án đã không thực hiện được lời hứa của mình, Twitter của dự án vẫn không có gì được cập nhật, trang Web vẫn ngoại tuyến, Medium lưu trữ Whitepaper của dự án cũng đã hoàn toàn biến mất. Số tiền tổn thất sau vụ hack là 1.294 ETH.

Meter.io

Cuộc tấn công do lỗi mã mở rộng trên Meter.io vừa được thông báo vào ngày 06/02/2022. Cụ thể, cầu nối xuyên chuỗi của Meter.io vừa bị tấn công, dẫn đến thiệt hại khoảng 4.300.000 đô la (trong đó bao gồm 1391.24945169 ETH và 2.74068396 BTC). Các hacker đã khai thác một lỗ hỏng trong chức năng rút tiền, cho phép các hacker có thể đúc một lượng lớn mã thông báo BNB và WETH, làm cạn kiệt trữ lượng của những thứ này trên cầu, Meter Passport. Sau đó, dự án đã làm việc với các nhà chức trách, đồng thời kêu gọi thủ phạm trả lại số tiền bị đánh cắp.

Community, we really appreciate everyone's patience and support as we work to get back up and running after this morning's exploit.

We have detailed everything in the below thread:

— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022

Titano Finance

Vào ngày 14/02, dự án Titano Finance trên chuỗi BSC đã bị tấn công. Những kẻ tấn công đã kiếm được tổng cộng 4.828,7 BNB (khoảng 1.900.000 đô la). Theo như báo cáo của dự án cuộc tấn công này diễn ra là do dự án tin tưởng một nhà thầu triển khai hợp đồng thông minh PLAY, mặc dù quyền sở hữu đã được chuyển lại cho dự án sau khi triển khai, nhưng tất cả Titano trong giao thức đều bị đánh cắp. Sau vụ hack Titano Finance đã chịu một số thiệt hại khá lớn chỉ trong vòng chưa đầy 20 phút, tỷ giá TITANO / USDT đã giảm mạnh từ 0,16 đô la xuống còn 0,03 đô la. Thời điểm hiện tại nhóm đã tạm ngưng dịch vụ PLAY vô thời hạn cho đến khi tất cả các lỗ hổng được khắc phục. Dự án hứa sẽ đền bù toàn bộ số tiền bị mất cho những người dùng bị ảnh hưởng.

OpenSea

Vào ngày 25/01/2022, một người dùng OpenSea đã khai thác một lỗ hỏng trong NFT để đánh cắp hàng trăm ETH từ chủ sở hữu của bộ sưu tập nổi tiếng như Bored Ape Yacht Club (BAYC) and Cyber Kongs. Molly White, người điều hành blog Web3 is Going Great, ước tính giá trị của số token bị đánh cắp là hơn 1.700.000 đô la. OpenSea cho biết 32 người dùng đã bị ảnh hưởng, nhưng sau đó chỉ còn 17 người, vì 15 người trong số ban đầu đã tương tác với kẻ tấn công nhưng kết quả là không bị mất mã thông báo.

It appears that @opensea has a front-end issue and the exploiter gained about 332 Etherhttps://t.co/35kCB1n7nv

— PeckShieldAlert (@PeckShieldAlert) January 24, 2022

Paraluni

13/03/2022, dự án tài chính metaverse Paraluni trên hệ sinh thái BSC đã bị tấn công. Vấn đề chủ yếu nằm ở phương thức Deposit By Add Liquidity trong hợp đồng MasterCheif của bên dự án, với số tiền tổn thất lên đến 1.700.000 đô la. Số tiền bị tổn thất chủ yếu đến từ khoản vay nhanh của PancakeSwap. Theo thông tin từ nền tảng cho biết số dư tài khoản của tin tặc có địa chỉ “0x94bc” trên chuỗi BSC là 3000,01 BNB (khoảng 1,1258 triệu đô la Mỹ) và 235,45 ETH (khoảng 608,600 đô la Mỹ). Khoảng 1/3 số tiền bị đánh cắp 230 ETH đã chảy vào Tornado Cash.

1/ The @paraluni was exploited in a series of txs (one hack tx:https://t.co/isehpJCd1N), leading to the gain of ~$1.7M for the hacker.

— PeckShield Inc. (@peckshield) March 13, 2022

Multichain

Vào ngày 18/01/2022, Multichain vừa bị tấn công với lý do tính hợp lệ của thông số token không được kiểm tra. Cầu nối xuyên chuỗi Multichain vừa có thông báo một lỗ hỏng quan trọng vừa xảy ra ảnh hưởng đến Wrapped Ether (WETH), Peri Finance (PERI), Mars Token (OMT), Wrapped BNB (WBNB), Polygon (MATIC) và Avalanche (AVAX). Sau đó, sự cố này đã được sữa chữa và tất cả tài sản của người dùng đều được đảm bảo an toàn trên cả V2 Bridge & V3 Router, đồng thời tất cả các giao dịch xuyên chuỗi đều được thực hiện một cách an toàn như bình thường. Tuy nhiên, nếu người dùng đã uỷ quyền những loại tài sản này, người dùng cần phải thu hồi uỷ quyền càng sớm càng tốt nếu không tài sản của người dùng có thể gặp rủi ro. Theo thông báo chính thức vào ngày 19, một số người dùng không huỷ uỷ quyền kịp thời dẫn đến số tiền bị tổn thất là 445 WETH(khoảng 1.430.000 đô la). Multichain đã khắc phục lỗ hổng của nhóm thanh khoản bằng cách nâng cấp tính thanh khoản của mã thông báo lên các hợp đồng mới. Đồng thời, nền tảng đã có một kế hoạch bồi thường để khôi phục lại tiền của người dùng. Người dùng phải hủy bỏ phê duyệt của họ và gửi phiếu hỗ trợ để đủ điều kiện nhận khoản bồi thường. Ngoài ra, Multichain cho biết họ sẽ tiếp tục cố gắng khôi phục số tiền bị mất và hoàn lại tiền cho người dùng sau ngày 18 tháng 2 năm 2022, trừ đi phí khai thác.

1/A critical vulnerability that affected 6 tokens (WETH, PERI, OMT, WBNB, MATIC, AVAX) has been reported and fixed.

All assets on both V2 Bridge and V3 Router are safe, and cross-chain transactions can be done safely.

More info👇https://t.co/Mm6yWMwlCS

— Multichain (Previously Anyswap) (@MultichainOrg) January 17, 2022

Frosties

Ngày 13/01/2022 vừa qua, các nhà đầu tư trong bộ sưu tập NFT Frosties đã bị lừa hơn 1 triệu đô la sau khi người tạo ra dự án NFT Frosties bỏ trốn. Thông thông tin có sẵn, bộ sưu tập có hơn 8.888 NFT trong chuỗi với giá sàn là 0,04 ETH, tương đương với số tiền 120 đô la. Chỉ trong vòng 1 giờ kể từ khi ra mắt tất cả các NFT đều đã được bán, nhưng các nhà đầu tư thay vì nhận được tài sản của họ, thì các nhà đầu tư lại nhận được tin nhà phát triển của dự án đã ngừng kích hoạt tất cả các kênh liên lạc với các thành viên trong cộng đồng của họ. Theo dữ liệu Etherescan cho thấy rằng các nhà phát triển đã chuyển hầu hết tiền từ tài khoản OpenSea sang một ví khác. Sau vụ hack số tiền tổn thất đã lên đến 1.000.000 đô la.

RigoBlock

RigoBlock vừa bị tấn công do lỗ hỏng hợp đồng được thông báo vào ngày 18/02/2022. Theo RigoBlock tất cả các mã thông báo trong Dragos ngoại trừ ETH và USDT, còn lại đều gặp rủi ro do các lỗ hỏng giao thức bị khai thác. Với số tiền tổn thất lên đến 160,86 ETH. Tuy nhiên, các hacker mũ trắng đã trả lại tiền cho RigoBlock.

RigoBlock has been hacked. All tokens in Dragos but ETH and USDT are at risk due to an exploited protocol vulnerability. The fix will require a major protocol upgrade, please don’t use RigoBlock.

— RigoBlock (@RigoBlock) February 17, 2022

DaoMetaland

Rug Pull đã xảy ra trong dự án DaoMetaland trên hệ sinh thái BSC vào ngày 07/01/2022. Theo PeckShield, Metaland DAO đã lỗ hơn 640 BNB, tương đương khoảng 286.748 đô la. Hơn nữa, mã thông báo gốc của nền tảng META đã giảm đáng kể 80,91%. Twitter chính thức của dự án đã hoàn toàn bị xoá.

#Slippage $META (https://t.co/OPG1rqL1iC) price dropped -80.91% (#BSC) pic.twitter.com/2xZd2kdUtL

— PeckShieldAlert (@PeckShieldAlert) January 7, 2022

CityDAO

Vào ngày 15/01/2022 trên thị trường crypto đã xảy ra một vụ hack cực kỳ nghiêm trọng. Mục tiêu chính bị tấn công trong lần này là CityDAO.

CityDAO là một dự án được xây dựng trên nền tảng của hệ sinh thái Ethereum. Vào ngày 15/01 CityDAO thông báo trên twitter của mình về tài khoản quản trị CityDAO Discord đã bị tấn công. Cụ thể, CityDAO cho biết vụ tấn công nhằm vào tài khoản Discord của thành viên cốt lõi biệt danh Lyons800. Sau đó hacker đã sử dụng tài khoản quản trị viên vừa đánh cắp để đăng thông báo airdrop giả mạo. Sau cuộc tấn công này nền tảng đã tổn thất khoảng 29,67 ETH (95.000 đô la). Sau khi vụ hack xảy ra CityDAO đã tạo ra một cái biểu mẫu dành cho những đối tượng bị hack có thể điền thông tin của họ vào để dự án có thể sắp xếp và giải quyết.

EMERGENCY NOTICE. A CityDAO Discord admin account has been hacked. THERE IS NO LAND DROP. DO NOT CONNECT YOUR WALLET.

— CityDAO (@CityDAO) January 10, 2022

Tổng kết

Mặc dù, quý 1 năm 2022 vẫn chưa hoàn toàn khép lại nhưng số vụ hack xảy ra trong thị trường đã đạt đến con số đáng ngờ. Hầu hết các cuộc tấn công đều do Scam, rò rỉ dữ liệu hay là do lỗ hỏng của các hợp đồng thông minh. Các cuộc tấn công gây ra một số lượng tổn thất lớn cho cộng đồng người dùng cũng như toàn bộ dự án. Vì vậy, để tránh tình trạng này xảy ra các dự án cần chú trọng hơn về mảng Audit cho dự án của mình để có thể vừa đảm bảo an toàn cho tài sản của khách hàng tham gia vào dự án cũng như tạo được lòng tin cho khách hàng. Hy vọng qua những thông tin trên sẽ có thể giúp bạn nắm bắt được một số thông tin về lĩnh vực Audit trong thị trường crypto.

*** Hãy cùng GFS Blockchain theo dõi sự phát triển của lĩnh vực Audit trong thị trường Crypto qua các bài viết thường xuyên được cập nhật trong chuyên đề Audit Workspace.

Nếu trong quá trình tiềm hiểu có bất kỳ thắc mắc nào đừng quên tham gia vào kênh cộng đồng chính thức của GFS để có thể được giải đáp và tham gia trao đổi kiến thức cùng với các thành viên khác nhé!

Các kênh cộng đồng chính thức của GFS Blockchain: