Độ ổn định cũng như tính bảo mật của blockchain Solana đang thật sự là dấu chấm hỏi rất lớn đối với nhà đầu tư khi vừa có thêm một dự án bị tấn công với mức thiệt hại khá nghiêm trọng trên nền tảng.
Lần này, ứng dụng DeFi dựa trên Solana là Cashio Dollar (CASH), giao thức cho phép người dùng đúc stablecoin trực tiếp, đã bị tấn công. Theo @0xavarek, nhà nghiên cứu crypto của sàn giao dịch Bybit, Cashio đã mất khoảng 52,8 triệu USD trong vụ hack.
So WTF happened with @CashioApp?
Here’s an investigative piece w @GabrielGFoo & @0xFA2 on the $52.8mil infinite money glitch hack
for the full report, head to: https://t.co/uCs5EY9dCM
if not, please read on –
— 0xavarek | 0536 (@0xavarek) March 24, 2022
Ngay sau đó, 0xghostchain, nhà phát triển đã khởi chạy nền tảng tiền phi tập trung, đã lên Twitter để tuyên bố với cộng đồng rằng đội ngũ dự án đang điều tra các vấn đề xảy ra trên Cashio.
Please do not mint any CASH. There is an infinite mint glitch.
We are investigating the issue and we believe we have found the root cause. Please withdraw your funds from pools. We will publish a postmortem ASAP.
— Cashio ($CASH) ? (@CashioApp) March 23, 2022
Hóa ra đó là một “trục trặc trong quá trình tạo ra token vô hạn”, một sai sót lập trình khá nghiêm trọng từ các nhà phát triển Cashio, cho phép hacker này đúc token mà không cần cung cấp tài sản thế chấp. Do đó, tin tặc đã lợi dụng lỗ hổng để đúc 2 tỷ CASH từ 2 tỷ token không xác định của mình.
For a point-form breakdown of the exploit: https://t.co/rfCshpr079
the hacker managed to mint 2b CASH tokens with 2b of his own unknown tokens.
he/she was able to do so because of a flaw that @samczsun has already broken down here: https://t.co/1Um8tlMQpH
— 0xavarek | 0536 (@0xavarek) March 24, 2022
Trong số 2 tỷ CASH đó, hacker đã sử dụng nền tảng của Cashio để đốt một phần token CASH mới được đúc cho tất cả LP token đại diện cho USDT-USDC trong các khoản tiền gửi của Cashio, nhằm hút thanh khoản một cách hiệu quả. Sau đó, hacker hoán đổi số LP token này thông qua giao thức Saber với giá lần lượt là 16,4 triệu USDC và 10,8 triệu USDT.
The hacker then swapped all said USDT-USDC LP tokens through Solana’s Saber protocol for $16.4 million USDC and $10.8 million USDT respectively. pic.twitter.com/TBbE9iOIIk
— 0xavarek | 0536 (@0xavarek) March 24, 2022
Tiếp đến hacker tiến hành swap phần token CASH còn lại để lấy tương ứng 8,6 triệu UST và 17 triệu USDC thông qua Saber, ngay lập tức làm giá CASH trên thị trường lao thẳng xuống 0.
Không những vậy, ngay khi rút 52,8 triệu USD thông qua USDC, USDT và UST từ Cashio lẫn Saber, hacker còn lập tức chuyển 15,3 triệu USDC và USDT thành 3.773,9737 ETH qua Jupiter. Số ETH này lại chia nhỏ thành 3 giao dịch chuyển đến một địa chỉ Eth khác thông qua cầu nối cross-chain Wormhole.
After draining $52.8 million worth of USDC, USDT and UST from Cashio & Saber, he/she proceeded to swap $15.3m of USDC & USDT to 3,773.9737 ETH via Jupiter, which was then transferred in 3 transactions to an Eth address through Wormhole pic.twitter.com/LcjJ8ash6h
— 0xavarek | 0536 (@0xavarek) March 24, 2022
Theo đó, 21 triệu USDC tiếp tục được chuyển thành 20,5 triệu UST thông qua Jupiter. 29 triệu USDC cùng với 7,9 triệu USDC còn lại đều được chuyển đến cùng một địa chỉ ví Ethereum, cũng thông qua Wormhole. Tại thời điểm thực hiện bài viết, tin tặc đã chuyển tổng cộng 3.773,9737 ETH, 29.312.939,32 USD và 7.967.375,86 USDC đến địa chỉ ví Eth của mình, được gắn thẻ là “Cashio Exploiter” trên Etherscan.
At this point, the hacker has transferred a total of 3,773.9737 ETH, $29,312,939.32 UST, and $7,967,375.86 USDC to his Eth wallet address at https://t.co/ytdaYQ5FBX, currently tagged as the CashioApp Exploiter on Etherscan. pic.twitter.com/G8AYHONryw
— 0xavarek | 0536 (@0xavarek) March 24, 2022
Điều thú vị, hacker đã để lại một thông điệp khá “nhân từ” rằng những tài khoản nào dưới 100.000 USD đều được trả lại tiền, toàn bộ số tiền còn lại sẽ làm từ thiện. Dường như hacker thực sự đã giữ đúng lời hứa của mình khi bằng chứng cho thấy 10 trang dữ liệu lịch sử giao dịch chuyển cho các nạn nhân là minh bạch.
“Account with less 100k have been returned, all other money will be donated to charity”
We discovered that he actually kept true to his promises.
We have 10 pages worth of tx historical data showing him fulfilling his promise, but 2 will suffice pic.twitter.com/1QKnh5i0HC
— 0xavarek | 0536 (@0xavarek) March 24, 2022
Song, những vụ hack trong không gian DeFi không phải là sự kiện quá mới mẻ đối với ngành crypto nói chung. Sở dĩ lĩnh vực này vẫn đang trong giai đoạn vô cùng sơ khai, từ đó trở thành miếng bánh béo bở để hacker trục lợi. Chỉ riêng trong năm 2021, tổng hợp các trường hợp tấn công DeFi đã gây thiệt hại đến 1,4 tỷ USD. Trong đó, đình đám nhất là vụ hack kỷ lục 611 triệu USD từ Poly Network, lỗ hổng smart contract của Compound khiến dự án bốc hơi 140 triệu USD và Cream Finance bị đánh cắp 117 triệu USD do tấn công flash loan.
Tuy nhiên, trọng tâm đáng chú ý ở đây lại xoay quanh câu chuyện về Solana, blockchain được kỳ vọng là đại diện sẽ thay thế Ethereum trong tương lai. Nhìn lại, Cashio (CASH) chỉ là trường hợp mới nhất của SOL. Trên thực tế, hồi tháng 8 năm 2021, Solend – một nền tảng cho vay lending của Solana đã bị hacker ghé thăm. Tiếp đến đầu năm 2022, đến lượt cầu nối cross-chain Wormhole trên Solana bị tấn công, thiệt hại lên đến 325 triệu USD và kênh Discord của các dự án NFT trên Solana cũng phải chịu kết cục tương tự.
Không những vậy, kể từ sự cố lịch sử “đứng hình” suốt 18 tiếng đồng hồ không hoạt động, Solana vẫn chưa có bất kỳ giải pháp nào đáng kể để khắc phục tình trạng. Mặt khác, CEO Solana Labs lại đưa ra tuyên bố có phần mẫu thuẫn rằng sẽ là chuyện bình thường nếu mạng SOL tiếp tục gặp phải sự cố. Vậy câu hỏi đặt ra hiện tại là liệu nhà đầu tư có đang cảm thấy an tâm với túi tiền của mình khi quyết định tin tưởng vào hệ sinh thái Solana?
tổng hợp
