2021-05-22 18:02:37

Giải thích lý do kích hoạt đợt sóng giảm vừa qua, giao thức an toàn sẽ tồn tại ở lại

WildCat đăng lên Nghiên cứu đầu tư 504

Nếu giá coin giảm, một ngày nào đó nó có thể tăng trở lại, nếu coin bị mất cắp, thì nó sẽ mất vĩnh viễn.

Ngày 19/5 bốc hơi hàng nghìn tỷ USD

Ngày 19/5, thị trường tiền điện tử đã chịu áp lực giảm giá lớn nhất trong lịch sử, giá trị thị trường đã bốc hơi hàng nghìn tỷ USD, vượt qua đỉnh của ngày 3/12/2019.

Có thể nhiều người chỉ nghĩ rằng giá giảm do nhà đầu tư bán tháo chốt lời, thực tế lý do chính của đợt giảm này là "lo sợ".

Một số vụ hack

Áp lực bán tháo của ngày 19/5 là hậu quả của một số vụ hack hàng chục triệu, hàng tỷ USD.

- Ngày 19/5, Venus bị thanh lý ảo, dẫn đến khoản nợ khó đòi hơn 100 triệu USD.

- Ngày 20/5, PancakeBunny kinh doanh mảng AutoCompound trên hệ sinh thái Defi của BSC đã bị tin tặc tấn công vào lỗ hổng logic, gây ra thiệt hại 45 triệu USD.

- Ngày 16/5, bEarn bị tấn công gây thiệt hại 11 triệu BUSD

Nhà đầu tư vào các dự án trên đều lâm vào khủng hoảng niềm tin, kích hoạt dây truyền tâm lý "sợ hãi"

Binance Smart Chain gần đây được đánh giá là miếng mồi ngon cho những kẻ đi săn. Các tin tặc đang rất thích thú với niền tảng sao chép từ Ethereum này.

Diễn biến nuốt chửng bEarn Fi

Dưới đây, TienDienTu.net có thể mô tả sơ bộ cơ chế mà tin tặc đã nuốt chửng bEarn Fi và lấy đi lượng tocken trị giá khoảng 11 triệu USD.

Nội dung này được chúng tôi trích từ phân tích các cuộc tấn công Peckshield và bEarn

Bắt đầu từ 10:36:20 AM + UTC ngày 16/5/2021, hợp đồng BvaultsBank của bEarnFi đã bị tin tặc can thiệp và lấy đi lượng token tương đương 11 triệu USD.

Nguyên nhân chính của sự cố này là do lỗi logic rút tiền nội bộ, cơ chế bEarnFi cho rằng số tiền nộp vào BUSD và ibBUSD là giống nhau. Nhưng thực ra nó lại khác nhau, ibBUSD là mã có lãi suất có giá cao hơn một chút so với BUSD.

Bước 1: Vay 7,804,239.111784605253208456 BUSD từ CREAM bằng một hợp đồng vay nhanh.

Bước 2: Gửi BUSD đã vay vào BvaultsBank đồng thời gửi ngay lập tức tới BvaultsStrategy, sau đó gửi tới Alpaca Vaults để kiếm thu nhập. Lệnh gửi cùng lúc này Alpaca Vault trả lại 7,598,066.589501626344403426 ibBUSD cho BvaultStrategy.

Bước 3: Thông qua hệ thống Alpaca FairLaunch, giử vào

7,598,066.589501626344403426 ibBUSD để nhận lãi suất.

Bước 4: Số tiền 7.804.239.111784605253208533

BUSD gửi ở BvaultsBank ở bước thứ 2 rút ra ngay lập tức và họ trả lại 7.804.239.111784605253208533 ibBUSD, thực tế BvaultBank trả số ibBUSD trên là tương đương với 8.016.006.09792806917101481 BUSD.

Bước 5: Tiếp tục vòng lặp từ bước thứ 2 và vẫn tiếp tục gửi 7.804.239.111784605253208533 BUSD vào BvaultsStrategy, và lại gửi vào BvaultBank. Hệ thống BvaultStrategy tiếp tục ghi có cho người dùng là 8.016.006.09792806917101481 BUSD ở hệ thống khai thác của Alpaca.

Bước 6: Lặp lại thao tác trên nhiều lần đến khi tích lũy đủ để lấy hết tiền của bEarn trên pool

Bước 7: Hoàn trả khoản vay

7.806.580.383518140634784418 BUSD ở bước đầu tiên của CREAM.

Toàn bộ số tiền chiếm được trong cuộc tấn công trên được chứa trong ví sau: https://bscscan.com/address/0x47f341d896b08daacb344d9021f955247e50d089

Như vậy, do mạng BSC phát triển quá nhanh thiếu sự trải nghiệm khiến cho các tin tặc tiếp tục miệt mài tìm lỗ hổng bảo mật cũng như lỗ hổng logic. TVL mạng BSC đang trong giai đoạn trồi sụt rất lớn.