0VIX bị hack 2 triệu USD, lý do là gì?

1,45 triệu stablecoin USDC cùng với các token khác đã bị kẻ gian đánh cắp trong vụ tấn công diễn ra tối nay, lý do ban đầu đã được tiết lộ.

Cryptoday

28/04/2023

•

18:52

Cryptoday trên

0VIX lên tiếng xác nhận cuộc tấn công

Vào 6h54 tối 28/4, 0VIX đã lên tiếng xác nhận vụ tấn công trên Twitter và cho biết sẽ làm việc với các đối tác bảo mật để tìm hiểu về tình trạng hiện tại. Có vẻ như nó liên quan tới vGHST. Hệ thống POS và thị trường zkEVM cũng được tạm dừng bao gồm chuyển dịch oToken, đúc và thanh lý.

*0VIX lên tiếng xác nhận vụ tấn công trên Twitter.*

Theo dữ liệu được ghi nhận trên polygonscan, nền tảng theo dõi các giao dịch diễn ra trên blockchain Polygon, đã phát hiện cuộc tấn công dạng Flash - Loan vào giao thức DeFi 0VIX. Cuộc tấn công diễn ra vào 10h45 UTC ( 17h45 giờ Việt Nam).

Tổng cộng có 1,45 triệu USDC cùng với 1 số token khác đã bị đánh cắp trước khi được kết nối tới mạng Etherum qua Stargate Finance, nơi mà chúng đã được chuyển đổi ra ETH. Giao thức này có TVL (tổng giá trị bị khoá) là 10 triệu USD trước khi bị tấn công, theo dữ liệu từ DefiLlama. Hiện tại, TVL đã tụt xuống còn khoảng 2 triệu USD.

TVL của 0VIX sụt giảm ngay khi tấn công xảy ra. Nguồn: DefiLlama.

0VIX là giao thức mã nguồn mở cho phép vay và mượn được tăng cường bởi veTokenomics. Dự án là 1 bản fork từ giao thức cho vay DeFi Compound.

Đáng chú ý, dự án đã được kiểm toán (audit) smart contract của đơn vị khá nổi tiếng trong ngành là PeckShield vào tháng 5/2022, chi tiết tại thông báo https://assets.website-files.com/622a09bc809cd190f58b7b15/627cd4450f5eb2df769b4ac1_PeckShield-Audit-Report-0VIX-v1.0.pdf

Vì sao 0VIX bị tấn công?

Công ty bảo mật PeckShied đã lên tiếng về vụ tấn công sau khi cho biết có thảo luận với 0VIX. Họ phát hiện ra nguyên nhân của sự cố này là do sự xuất hiện của VGHST Oracle dễ bị tấn công tại địa chỉ hợp đồng https://polygonscan.com/address/0x738fe8a918d5e43b705fc5127450e2300f7b08ab

Hợp đồng này được triển khai vào ngày 17/3 vừa qua và bị thao túng giá dựa trên hoạt động quyên góp (donation).

PeckShied lên tiếng về vụ tấn công. Nguồn: Twitter PeckShield.

Về cơ bản, tin tặc đã sử dụng 24,5 triệu USDC làm tài sản thế chấp để vay 5,4 triệu USDT và 720.000 USDC. Trong khi đó, nó liên quan tới 1 loạt các khoản vay có đòn bẩy của vGHST, vốn bị thao túng giá dựa trên các khoản quyên góp và khiến vị thế vay của tin tặc có thể bị thanh lý. Vị thế vay này sau đó được thanh lý để lấy lại tài sản thế chấp USDC ban đầu. Các bước này được mô tả như sau:

Bước 1: Hacker thực hiện quyên góp (donation) để thao túng

Cryptoday - cryptoday-buoc-1-quyen-gop-de-thao-tung_3EXGpRkn8Y_2023042818.jpeg — Bước 1: Quyên góp để thao túng.

Bước 2: Đẩy giá bằng cách thao túng.

Bước 3: Sử dụng cơ chế cho vay, quyên góp và thanh lý.

Cryptoday - cryptoday-buoc-3-cho-vay-quyen-gop-va-thanh-ly_id6qLjrvCQ_2023042818.jpeg — Bước 3: Cho vay, quyên góp và thanh lý.

Bình luận về cách giải thích này của PeckShied, người dùng có tên @TheDEFIac đã đặt ra câu hỏi: "Về cơ bản, đây có phải là cách tấn công tương tự như từng xảy ra với Euler Finance hay không?"

Tìm hiểu về vụ tấn công Euler Finance tại đây.

Euler Finance cũng là 1 trong các nền tảng giao dịch DeFi bị tấn công trong thời gian qua, gây thiệt hại lên tới 197 triệu USD. Đây là 1 trong những vụ tấn công vào DeFi lớn nhất từ đầu năm 2023 tới nay.