Ngay sau khi phát hiện sự cố, Level Finance đã thông báo tới người dùng trên Twitter, cho biết có hơn 214.000 token LVL của sàn bị rút cạn. Tin tặc đã chuyển số token LVL trị giá 1,01 triệu USD thành 3.345 BNB.
Level Finance là sàn giao dịch hợp đồng vĩnh cửu (perpetual DEX) phi tập trung trên BNB Chain và cung cấp chiến lược quản lý rủi ro hiệu quả dành cho trader.
Theo công ty bảo mật Blockchain Peckshield, hợp đồng thông minh LevelReferralControllerV2 của sàn giao dịch Level Finance cho phép "xác nhận nhiều yêu cầu", tin tặc đã lợi dụng điều này để tấn công nền tảng. Level Finance sau đó đã xác nhận thông tin này trong một tuyên bố trên Discord.
Tìm hiểu thêm: Smart Contract là gì? Những điều cần biết về hợp đồng thông minh
Dữ liệu từ BSCScan, một block explorer của Binance Smart Chain dùng để tra cứu các giao dịch BNB, hợp đồng thông minh cho thấy, đã phát hiện nhiều lệnh gọi của chức năng “xác nhận quyền sở hữu” trong 48 giờ qua. Hiện tại việc mở hợp đồng thông minh mới trên giao thức không bị ảnh hưởng sau cuộc tấn công.
Tuy nhiên, Level Finance cho biết họ sẽ triển khai các hợp đồng giới thiệu mới trong vòng 12 giờ tới để đảm bảo tính an toàn cho người dùng. Nhóm Level Finance tuyên bố rằng hợp đồng lỗ hổng hiện tại đã được tách biệt khỏi các hợp đồng khác, bản sửa lỗi sẽ được triển khai trong vòng 12 giờ và tài chính của LP và DAO sẽ không bị ảnh hưởng.
Trong thị trường crypto, hợp đồng thông minh (smart contract) là một ứng dụng hoặc chương trình chạy trên Blockchain. Hợp đồng thông minh giống như một hợp đồng kỹ thuật số bị bắt buộc thực hiện bởi một bộ quy tắc cụ thể. Bản chất của smart contract là an toàn, tuy nhiên nếu người dùng để lộ một số thông tin nhạy cảm hoặc bị các hacker khai thác thì chắc chắn sẽ gặp những trường hợp rắc rối.
Khả năng lưu trữ giá trị, tính minh bạch và tính bất biến của hợp đồng thông minh cũng có thể phát sinh rủi ro bảo mật và là “con mồi” mà nhiều tội phạm mạng nhắm tới. Ngày 1/5/2022, dự án Fei Protocol bị tin tặc tấn công, đánh cắp gần 28.000 ETH, trị giá khoảng 78 triệu USD tại thời điểm đó. Hacker đã bắt đầu chuyển lượng tiền số này lên nền tảng “máy trộn” Tornado Cash để rửa tiền.
Theo công ty nghiên cứu bảo mật Blockchain Blocksec, hacker đã tấn công vào lỗ hổng tái diễn (reentrancy vulnerability), đây là vấn đề phổ biến trên các hợp đồng thông minh xây dựng trên Ethereum. Cuộc tấn công xảy ra khi hợp đồng thông minh của giao thức thực hiện lệnh với smartcontract bên ngoài. Sau đó, tín hiệu trả lại của hợp đồng ngoài giao thức sẽ tìm cách khai thác lỗ hổng trong lập trình của lệnh gửi đi.
Tháng 8/2022, cầu nối Nomad cũng bị hacker “ghé thăm”, đánh cắp 190 triệu USD chỉ trong vài giờ. Theo dữ liệu từ DefiLlama, số tiền trong ví chỉ còn khoảng 651,54 USD. Các token bị lấy mất là WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO), Card Starter (CARDS), Saddle DAO (SDL) và Charli3 (C3).
Theo dữ liệu từ công ty bảo mật tiền điện tử CertiK, các vụ hack tiền điện tử vào tháng 4 gây thiệt hại 103,7 triệu USD. Tổng số tiền bị hack do khai thác tiền điện tử và DeFi trong tháng 4 là 74,5 triệu USD, chiếm 50% tổng số tiền bị hack là 145 triệu USD trong 4 tháng qua. Các vụ tấn công Flash Loan là 20 triệu USD và các vụ exit scam cũng lên tới 9,4 triệu USD trong tháng 4.
Vụ hack Yearn Finance đã chiếm một nửa số tiền bị hack do Flash Loan là 10 triệu USD. Theo giao thức Aave, nguyên nhân dẫn đến vụ tấn công là do Yearn (yUSDT) bị định cấu hình sai và tin tặc đã khai thác nó để đúc yUSDT với số lượng lớn (1.252.660.242.212.927,5) từ một USDT nhỏ 10K USD. Sau đó, yUSDT này đã được rút ra thông qua việc hoán đổi sang các đồng tiền ổn định khác. Số stablecoin bị mất mát bao gồm DAI, USDC, BUSD, TUSD, USDT.
Đọc thêm: Dự án Yearn Finance bị tấn công, thiệt hại 10 triệu USD
