Dự án mới nhất bị hack trên Binance Smart Chain là Value DeFi (VALUE). Khi vừa tuyên bố họ có một biện pháp an toàn để bảo vệ Vault khỏi các khoản vay nhanh (flash loan), ngay sau đó 1 hacker đã tấn công và lấy đi 10 triệu USD.
Như đã được đưa tin, Value DeFi (VALUE) hồi tháng 11/2020 đã từng bị tấn công, mất đi 5,4 triệu USD. Khi đó, chúng ta có thể biết rằng Value DeFi không thực sự hiểu về flash loan như họ nói. Còn lần này, Value DeFi mất thêm 10 triệu USD vì lỗi copy-paste, một lỗi mà như Value DeFi gọi rằng là “human-error” – “lỗi con người”.
Mặc dù vậy mã thông báo gốc VALUE hầu như không bị bán phá giá, chỉ mã thông báo phân phối lợi nhuận vBSWAP chịu ảnh hưởng.
Token vBSWAP nhanh chóng giảm từ 1500 USD xuống mức 800 USD khi hacker bán tháo lượng vbSWAP trên 1inch.
Nguyên nhân
Pool contract của pool vBSWAP – BUSD đã thiếu mất 1 dòng code trong hàm initialized ( ) : initialized = true
Điều này có nghĩa là bất kỳ ai cũng có thể khởi tạo lại pool và set mình làm quyền sở hữu, do đó có toàn quyển kiểm soát pool. Với từ cách là chủ sở hữu, hacker đã sử dụng hàm managementRecoverUnsupported () để khôi phục lại pool trong trường hợp có lỗi hoặc sự kiện bất thường.
Theo chia sẻ từ nhóm, khi khởi tạo nhóm vStake chia sẻ lợi nhuận, các mã đã không được viết mới, thay vào đó sử dụng các mã cũ của Reserve Fund. Tuy nhiên bằng một cách nào đó, dòng code đã bị copy paste thiếu dẫn đến sự cố trên.
Diễn biến
Vào lúc 10:22 AM (theo giờ VN) ngày 5 tháng 5 năm 2021, hacker đã khởi tạo lại pool vbSWAP/BUSD 92/2 và set mình là người khởi tạo
Bằng cách đó, hacker kiểm soát pool và sử dụng hàm governanceRecoverUnsupported() và rút token vbSWAP/BUSD LP được stake trong vStake.
https://bscscan.com/tx/0x9ba0454c2301ad5780795ae7477e9fa7e38226be16cc282158624479e66389b6
Sau đó nhanh chóng tháo thanh khoản và nhận về 7342.75 vBSWAP và 205,669 BUSD.
Tiếp tục bán chỗ vBSWAP để thu về BNB trên 1inch.
Sau đó hacker sử dụng BNB và BUSD để mua renBTC và sử dụng renBridge để chuyển số tiền sang BTC. Cuối cùng gửi về địa chỉ: 1Cm6WGvXQ9EgvvWX5dRsBxE2NvxFjfbcVF
Các biện pháp khắc phục
Đội ngũ phát triển Value DeFi đang đề xuất sẽ lấy trích vBSWAP nằm trong quỹ dự trữ bao gồm 2802,75 vBSWAP và 205,659 BUSD từ ValueDefi Deployer sẽ được bồi thường cho người dùng bị ảnh hưởng. Ngoài ra 4540 vBSWAP sẽ được hoàn trả theo 2 phương án do cộng đồng biểu quyết
- Đúc thêm 4520 vBSWAP để bồi thường cho những người dùng bị ảnh hưởng – là những người stake vBSWAP tại vStake.
- Đúc thêm 2270 vBSWAP để bồi thường ngày. Phần còn lại 2270 vBSWAP sẽ được trả dần trong 3 tháng.
Đây là một động thái tích cực từ nhóm để giảm thiểu thiệt hại cho người dùng. Điều thiệt hại duy nhất là giá vBSWAP bị giảm đáng kể khi bị hacker bán tháo.
Trong tháng 5 vừa qua đã có đến 3 vụ hack liên tiếp trên trên BSC là Uranium Finance, Spartan Protocol và Value DeFi. Có vẻ như sau khi CZ miễn trừ trách nhiệm về việc đảm bảo sự tập trung trên Binance Smart Chain, các hacker đã trở nên tích cực hơn trong việc tìm các lỗ hổng của các dự án được xây dựng trên BSC.
Theo bạn đây có phải 1 dấu hiệu tích cực khi Binance Smart Chain đã trở trên phi tập trung hơn? Hay đây sẽ là trở ngại khiến nhiều người e dè khi đầu tư vào các dự án trên Binane Smart Chain? Hãy để lại suy nghĩ của bạn với nhé.
tổng hợp
