Ngay sau khi một số người dùng phàn nàn về việc mất tiền bất thường, Defrost Finance nhanh chóng xác nhận dự án đã bị tấn công nhưng sự thật lại khiến nhiều người hoài nghi.
Cập nhật sáng ngày 27/12:
Trong thông báo đưa ra tối ngày 26/12, Defrost Finance tuyên bố đã thương thảo thành công với hacker và khôi phục số tiền 12 triệu USD đã bị đánh cắp khỏi dự án.
Defrost cũng khẳng định đang truy xuất dữ liệu để hoàn tiền cho những người dùng bị ảnh hưởng.
The hacked funds have been returned to #DefrostFinance.
The affected users will very soon be able to claim their assets back.
Details ?https://t.co/RpDqKAK44y
— Defrost Finance ? (@Defrost_Finance) December 26, 2022
Bài viết gốc:
Defrost Finance, một nền tảng giao dịch đòn bẩy trên blockchain Avalanche, đã thông báo rằng cả hai phiên bản của giao thức là Defrost v1 và Defrost v2 sẽ tạm thời ngừng hoạt động vì có liên quan đến một vụ hack. Thông báo được đưa ra sau khi các nhà đầu tư báo cáo đã bị mất token dự án MELT và AVAX được staked của họ từ ví Metamask.
Cụ thể trong tuyên bố vào ngày 23/12/2022, Defrost Finance khẳng định Defrost v2 đã bị tấn công bằng một cuộc tấn công flash loan. Đồng thời trong lúc này, nền tảng cũng cho biết phiên bản Defrost v1 không bị ảnh hưởng bởi vụ hack và quyết định đóng cửa Defrost v2 để điều tra thêm.
Defrost Finance is sad to announce that our V2 has suffered a hack, with an attacker using a flash loan function to withdraw funds.
The V1 is not affected. We will soon close the V2 UI and investigate further with our tech team.
Updates will be posted on our official channels.
— Defrost Finance ? (@Defrost_Finance) December 24, 2022
Tuy nhiên mọi việc tiếp tục diễn biến tệ hơn vào ngày 26/12, Defrost Finance cho biết một cuộc tấn công thứ hai lớn hơn đã xảy ra, hacker đã sử dụng khóa chủ sở hữu để khai thác Defrost v1, số tiền bị đánh cắp không được tiết lộ.
3/4 The same – or another – hacker also managed to steal the owner key for a second, much larger attack on the V1.
We are currently working on finding out how exactly the aggressors managed to obtain the key and used it to exploit the protocol.
— Defrost Finance ? (@Defrost_Finance) December 25, 2022
Nhằm phục vụ cho công tác điều tra và khắc phục tổn thất nhanh chóng nhất, đội ngũ Defrost Finance hiện ra quyết định sẵn sàng thương lượng với hacker. Theo đó, dự án sẽ “tặng” cho hacker 20% trên tổng số tài sản bị đánh cắp.
The Defrost team is willing to negotiate with the hacker(s).
We are willing to discuss sharing 20% (negotiable) of the funds in exchange for the bulk of assets and are calling on the hackers to contact us asap.
— Defrost Finance ? (@Defrost_Finance) December 25, 2022
Tuy nhiên, có vẻ như đây không phải một vụ hack đơn thuần. Bởi vì theo dữ liệu do Peckshield cung cấp, khả năng trường hợp này là rug pull. Peckshield nhận thấy một token thế chấp giả đã được thêm vào bộ sản phẩm trên Defrost Finance và dữ liệu giá giả mạo được sử dụng để thanh lý người dùng dự án.Thiệt hại được ước tính hơn 12 triệu USD.
We received community intel warning the rugpull of @Defrost_Finance. Our analysis shows a fake collateral token is added and a malicious price oracle is used to liquidate current users. The loss is estimated to be >$12M. https://t.co/70iu38OYh7 pic.twitter.com/rSKklgV71I
— PeckShield Inc. (@peckshield) December 24, 2022
Về cơ bản, rug pull là thuật ngữ miêu tả các nhà phát triển từ bỏ dự án do chính mình tạo ra bằng cách rút tiền các nhà đầu tư đã mua token của dự án, rồi đổ lỗi việc này do hacker gây ra nhằm che giấu tội lỗi. Thiệt hại từ các vụ rug pull tiền mã hóa trong năm 2021 là hơn 2,8 tỷ USD
Mặt khác, dữ liệu của DefiLlama cho thấy tổng giá trị khóa lại trên Defrost Finance đạt đỉnh 95 triệu USD vào tháng 02/2022. Bất ngờ thay, con số đó đã giảm xuống dưới 93.000 USD vào ngày 25/12. Do đó, việc mất TVL đột ngột không phanh như vậy cũng khiến cho lập luận Defrost Finance rugpull hoàn toàn có cơ sở.
Nhìn chung, vụ việc của Defrost Finance đã làm cho nhà đầu tư cảm thấy hoang mang trở lại với các dự án được xây dựng trên hệ sinh thái Avalanche. Bởi vì cũng khá lâu, khoảng 1 năm trở lại đây ngoài vụ hack vào giao thức Vee Finance (VEE) và Zabu Finance (ZABU) thì Avalanche lại rất ít gặp những sự cố tương tự như vậy.
Coincuatui tổng hợp
Có thể bạn quan tâm:
- Ví BitKeep của sàn Bitget đang bị tấn công trên diện rộng
- 1inch Network ra mắt nâng cấp Fusion để cải thiện bảo mật và lợi nhuận hoán đổi
Nguồn: Coin68
