Đơn vị phát triển Socket thừa nhận cầu nối Bungee của họ đã bị hacker tấn công, làm thất thoát 3,3 triệu USD tài sản.
Cầu nối Bungee thiệt hại 3,3 triệu USD vì bị tấn công
Cập nhật tối 23/01:
Theo thông báo mới nhất vào chiều ngày 23/01, Socket cho biết đã thu hồi được 1.032 ETH (trị giá 2,3 triệu USD) bị bòn rút từ sự cố tuần trước.
FUND RECOVERY UPDATE
— Socket (@SocketDotTech) January 23, 2024
We have successfully recovered 1032 ETH from the funds involved in the incident on 16th Jan.
We will release a recovery & distribution plan for users soon.
Big shoutout to everyone who helped us from Seal911, Slowmist, Hexagate, & others:@samczsun…
Dự án sẽ sớm công bố kế hoạch bồi thường cho nạn nhân bị ảnh hưởng.
Bài viết gốc:
Socket vào rạng sáng ngày 17/01 cho biết đã tạm ngưng những hợp đồng thông minh bị ảnh hưởng vì sự cố bảo mật của Bungee Exchange, giải pháp cầu nối cross-chain do dự án này phát triển.
To be crystal clear: all the affected contracts have been PAUSED.
— Socket (@SocketDotTech) January 16, 2024
Users don't need to do ANYTHING.
Theo đơn vị bảo mật PeckShield, nguyên nhân của vụ tấn công xuất phát từ việc smart contract của Bungee đã không xác nhận đầy đủ dữ liệu đầu vào, từ đó bị hacker lợi dụng để bòn rút tiền từ những người dùng đã cấp quyền cho contract đó.
Smart contract chứa lỗ hổng mới được thêm vào cách đây 3 ngày và hiện đã bị vô hiệu hóa, PeckShield cho biết thêm.
Today's hack on @SocketDotTech results in the loss of >$3.3m.
— PeckShield Inc. (@peckshield) January 16, 2024
The bad route exploited in the hack was added 3 days ago and is now disabled. Here are related txs:
- add route tx: https://t.co/lxw7iA1kn4
- disable route tx:https://t.co/QMHfI4YeuU
The hack is due to… https://t.co/QdBBgVF287 pic.twitter.com/yNxF5vCwax
Nhà phân tích Steven Zhang của The Block cho biết nhờ lỗ hổng, hacker có thể bòn tiền từ ví người dùng dựa trên mức phê duyệt của họ. Ví dụ, nếu người dùng chỉ muốn chuyển 1.000 USD qua Bungee nhưng trước đó đã phê duyệt số tiền có thể giao dịch là 2.000 USD thì hacker vẫn có thể rút đi 1.000 USD còn lại từ ví.
Socket cho biết đang điều tra nguyên nhân vụ việc và sẽ sớm cho cập nhật cho những người dùng bị ảnh hưởng.
Tháng 01/2024 tiếp tục chứng kiến nhiều vụ tấn công nhắm vào các dự án tiền mã hóa, tiêu biểu có thể kể đến cầu nối Orbit Chain (81,5 triệu USD), nền tảng lending Radiant Capital (4,5 triệu USD), giao thức thanh khoản Gamma Protocol (6,3 triệu USD) cùng nhiều vụ hack X (Twitter) của CertiK, CoinGecko và Ủy ban Chứng khoán Mỹ (SEC).
Coincuatui tổng hợp
Nguồn: Coin68