Tuần áp chót của tháng 11/2023, Coincuatui mời độc giả cùng xem một số sự kiện on-chain xoay quanh dòng tiền vào Blast và diễn biến 2 vụ hack lớn trong tuần.
Sự kiện on-chain nổi bật tuần qua (20/11 - 25/11)
Sáng ngày 21/11, giải pháp layer-2 Blast trên Ethereum đã chính thức ra mắt và thu hút chú ý của các nhà đầu tư khi huy động được 20 triệu USD từ Paradigm, Standard Crypto và eGirl Capital.
Dự án cho biết Blast là một layer-2 xây dựng dựa trên công nghệ Optimistic Rollups, tương thích sẵn với EVM để nhà đầu tư và dApp trên Ethereum có thể dễ dàng kết nối sang.
Dù số tài sản bridge sang Blast sẽ bị khóa đến mainnet năm sau, nhưng vẫn thu hút dòng tiền tích cực đổ vào chỉ trong vòng vài ngày. Tài sản được các nhà đầu tư bridge sang Blast bao gồm ETH và USDC, USDT.
Tài sản được dùng để bridge sang Blast. Nguồn: alec trên Dune Analytics (25/11/2023)
Sau khoảng 4 ngày, Blast đã thu hút hơn 440 triệu USD giá trị TVL. Nguyên nhân có thể vì chưa có giải pháp layer-2 nào cung cấp thêm lãi suất để tạo động lực nắm giữ ETH.
TVL tăng dần của Blast. Nguồn: DefiLlama (25/11/2023)
Dựa theo cơ chế của Blast, tiền staking của người dùng tiếp tục mang đi staking ở những nơi khác để sinh thêm lãi và chia về cho người dùng.
Trong 477,7 triệu USD được khoá, 417 triệu USD ETH đã được gửi lên staking trên Lido, trở thành staking holder ETH lớn thứ 3 thị trường; 59 triệu USD DAI được gửi đến Maker DAO; số còn lại 1,5 triệu USD đang nằm trong ví của giao thức.
Tài sản được gửi vào Blast và mang stake ở Lido và MakerDao. Nguồn DeBank
Xét về số ví tham gia bridge tài sản sang Blast, có thể thấy độ hype cao nhất diễn ra vào thời gian dự án thông báo và giảm dần sau đó dù xu hướng của TVL tăng lên nổi bật.
Lượng ví bridge vào Blast theo ngày. Nguồn: hashed trên Dune Analytics
Lợi dụng độ nóng của Blast, một kẻ gian đã mạo danh tài khoản nhà sáng lập Paradigm, Matt Huang, để gửi liên kết lừa đảo và gây ra tổn thất tài chính hơn 130.000 USD. Dù vậy tin nhắn của kẻ giả mạo dưới tweet chính thức vẫn chưa được xử lý.
Tin nhắn mạo danh. Nguồn: Tài khoản X của Bitrace
Chiều ngày 22/11, Cyvers Alerts phát cảnh báo về một loạt giao dịch bất thường trên HECO Chain, blockchain riêng của sàn giao dịch HTX (Huobi cũ).
Đã có khoảng 86,6 triệu USD tiền mã hóa bị rút đi khỏi cầu nối của HECO Chain thông qua ví 0xFc1, bao gồm 346.994 TUSD, 42.399 LINK ( khoảng 601.641 USD), 619.000 USDC, 173,200 UNI (931.816 USD), 346.9 triệu SHIB (2,8 triệu USD), 489 HBTC (18,8 triệu USD), 42M USDT và 10,145 ETH (19M triệu USD).
Lượng tiền bị rút hack khỏi HECO Chain. Nguồn: Arkham Intelligence
Tiền sau đó đã được tẩu tán sang nhiều ví. Hiện tại đa số tài sản rút được trên HECO Chain nằm ở 2 ví chính là 0xe47 và 0x6A4. Kẻ tấn công sau khi rút tài sản đã nhanh chóng swap 42,1 triệu USDT sang ETH để tránh nguy cơ bị Tether đóng băng.
Sơ đồ tẩu tán tiền của hacker. Nguồn: Cyvers Alerts
Số tiền tấn công không dừng lại ở đó, như đã được đưa tin, tổng thiệt hại đã lên đến 110 triệu USD khi có thêm lỗ hổng từ HTX. Phía Cyvers Alerts cho biết đã đánh dấu nhiều giao dịch đáng ngờ liên quan đến ví nóng của sàn giao dịch HTX và vụ hack đã được xác nhận bởi Justin Sun.
Hai ví nóng của HTX đã bị ảnh hưởng bởi sự cố này khi 1.240 ETH (2,5 triệu USD), 7,3 triệu USDT, 1,78 triệu USDC và 62.200 LINK bị rút mất. Kẻ tấn công đã phân phối tất cả tài sản đến các địa chỉ EOAs khác nhau kèm thêm 1 USD ETH làm phí gas. Hiện tại, tất cả các tài sản bị đánh cắp đang được trữ tại 4 địa chỉ khác nhau.
Sơ đồ tẩu tán tiền của hacker. Nguồn: Cyvers Alerts
Đây không phải vụ hack đầu tiên có liên quan đến HTX. Trước đó vào 25/09, sàn HTX đã bị rút đi 7,9 triệu USD tài sản. Tiếp đến, vào ngày 10/11, Poloniex bị bòn rút tiền với giá trị lên đến 125 triệu USD. Sàn tiếp tục đề nghị hacker trả tiền với thưởng lên đến 10 triệu USD, nhưng vẫn chưa có hồi âm.
Một ngày sau vụ hack vào HECO Chain, hacker bắt đầu hoạt động di chuyển tài sản. Heco Bridge Exploiter 2 đã chuyển khoảng 11,22 ETH đến một địa chỉ mới là 0xB6b, 11.220 ETH (23,2 triệu USD) đến 0x7bE và 11.220 ETH(23,2 triệu USD) cho 0xEdB. Lượng ETH chuyển đi như để kỉ niệm ngày hack thành công HECO và HTX - 22 tháng 11.
Giao dịch chuyển ETH. Nguồn: Arkham Intelligence
Trong quá trình tẩu tán tài sản, hacker HECO Bridge bán HBTC, lúc đó một nhà đầu tư đã nhân cơ hội HBTC giảm giá đã rút 50.64 WBTC từ Binance và swap được 57.51 HBTC. Tiếp đến, ví này đổi 56.51 HBTC thành 50.47 WBTC và chuyển trở lại Binance. Nhà đầu tư này đã kiếm được một khoảng chênh lệch gần 0.83 BTC trong 1 giờ.
Giao dịch swap sang HBTC. Nguồn: DeBank
Rạng sáng ngày 23/11, cộng đồng tiền mã hóa trên X (Twitter) tiếp tục xôn xao về vụ tấn công DeFi mới nhất nhắm vào sàn DEX KyberSwap.
Theo đó, các pool thanh khoản Elastic của giao thức này đã bị kẻ xấu bòn rút lượng lớn tiền, với giá trị ước tính là 47 triệu USD. Hacker đã cướp tài sản trên nhiều blockchain được KyberSwap hỗ trợ mở pool thanh khoản, gồm 7,5 triệu USD ETH, 2 triệu USD Polygon, 875.000 USD BASE, 20 triệu USD ARB, 15 triệu USD OP. Số tiền được rút đi đang được lưu trữ ở địa chỉ ví 0xc9b.
Ví lưu trữ tiền hack từ KyberSwap. Nguồn: DeBank
Tuy nhiên, hacker có vẻ đã quên mất pool trên Scroll khi trong đây vẫn còn 5 triệu USD tài sản chưa bị đụng đến.
Địa chỉ ví hacker gồm 2 ví:
Ví 0x502 thực hiện tạo hợp đồng thông minh 0xaF2 vào ngày 11h đêm ngày 22/11. Sau đó hợp đồng thông minh này bắt đầu được kích hoạt để thực hiện rút tiền trên các pool thanh khoản của KyberSwap thông qua 3 Transaction hash.
Giao dịch tạo Smart Contract và 3 giao dịch rút tiền. Nguồn: Etherscan
Ví 0x502 ban đầu nhận fund từ Tornado Cash. Sau đó, 0x502 đã tận dụng các cầu nối và Fixed Float để chuyển quỹ sang các chain khác để tiến hành cuộc tấn công.
0x502 ban đầu nhận fund từ Tornado Cash. Nguồn: MetaSleuth
0x502 ban đầu nhận fund từ FixedFloat. Nguồn: MetaSleuth
Khi track giao dịch của kẻ tấn công, ở mỗi giao dịch, khi bắt đầu, hợp đồng thông minh luôn nhận một lượng lớn tiền từ Aave, cho thấy chỉ có pool thanh khoản của KyberSwap bị tấn công thông qua hình thức flash loan.
Các giao dịch tấn công đều nhận tiền từ Aave. Nguồn: Etherscan
Theo nhận định của Blocksec, KyberSwap bị tấn công do hacker đã thao túng tick các pool và lổ hổng đếm gấp đôi thanh khoản. Kẻ tấn công đã vay mượn flashloan và rút sạch các pool có thanh khoản thấp. Bằng cách thực hiện các giao dịch swap và thay đổi vị thế, hacker đã thao túng giá và tick của các pool. Cuối cùng, kẻ tấn công kích hoạt nhiều bước swap và hoạt động tick chéo, dẫn đến việc hợp đồng thông minh đếm gấp đôi thanh khoản và sau đó rút tiền từ các pool.
Giải thích lổ hổng từ smart contract. Nguồn: Blocksec
26/ And that's because the "reach quantity" was the upper bound for reaching the tick boundary was calculated as ...22080000, whereas the exploiter set a swap quantity of ...220799999
— Doug Colkitt (@0xdoug) November 23, 2023
That shows just how carefully engineered this exploit was. The check failed by <0.00000000001% pic.twitter.com/1MYodAaVtd
Hiện tại, phần lớn tiền thu được giữ tại địa chỉ 0xc9b. Đáng chú ý, có 500 WETH đã được chuyển đến địa chỉ 0x98d trên Arbitrum, sau đó ví đã chuyển 300 WETH sang chain Ethereum thông qua cầu bridge Across Protocol.
Giao dịch chuyển tiền về ví 0xc9b. Nguồn: Etherscan
Giao dịch chuyển WETH sang Arbitrum và bridge sang Ethereum. Nguồn: MetaSleuth
Điều buồn cười ở đây là khi thực hiện hoạt động tấn công, hacker còn rất “chu đáo" ghi chú lại các bước hack của mình. Thông tin này có thể đọc được trong logs của mỗi hash.
Ghi chú từ hacker. Nguồn: Etherscan
Trong ngày 23/11, địa chỉ được Exploiter 2 0xc9b tiếp tục chuyển 1,000 WETH (2,06 triệu USD) đến địa chỉ 0x84e trên Arbitrum.
Giao dịch chuyển ETH. Nguồn: Etherscan
Ví 0x84E trước đó nắm giữ khoảng 2,4 triệu USD các loại token DeFi nhưng đã không hoạt động trong hơn 2 năm.
Tài sản trong ví 0x84E. Nguồn: Arkham Intelligence
Đa số các giao dịch của 0x84E trong thời gian hoạt động chỉ có các giao dịch nhận token từ ví 0xBA5.
Giao dịch của 0x84E với 0xBA5. Nguồn: Arkham Intelligence
Ví này có một loạt giao dịch liên quan đến hacker Profanity và Indexed Finance.
Mối liên quan giữa 0xBA5 với Indexed Finance và Profanity hacker. Nguồn: 0xScopescan
Tuy nhiên khi kiểm tra nguồn tiền gốc ví này nhận được thì không có liên quan đến bất kì sàn CEX nào.
Giao dịch của Indexed Finance với 0xBA5. Nguồn: Arkham Intelligence
Địa chỉ ví 0xBA5 ban đầu được nhận tiền từ Tornado Cash và các giao dịch sau đó đều thực hiện thông qua các nền tảng phi tập trung.
Giao dịch Tornado Cash với 0xBA5. Nguồn: Arkham Intelligence
Theo dữ liệu từ DefiLlama, các sản phẩm DeFi của KyberSwap ở mức TVL 86 triệu USD đã giảm về còn 22 triệu USD ở thời điểm viết bài, khi người dùng ồ ạt rút tiền.
TVL của KyberSwap giảm sau vụ hack. Nguồn: DefiLlama
Đến ngày 24 tháng 11, FTX và Alameda Research đã gửi khoảng 487 triệu USD của 48 loại token vào sàn giao dịch.
Thống kê token đã thanh lý của FTX. Nguồn: SpotOnChain (24/11/2023)
Coincuatui tổng hợp
Nguồn: Coin68