Hacker Dùng 2700 Usd Để Lấy Đi 158 Triệu Usd Từ Dự Án Team Finance

Phụng Yến

Kẻ tấn công đã khai thác lỗ hổng trên Team Finance để di dời các token thanh khoản bị khóa, dẫn đến thiệt hại lên đến 15,8 triệu USD.

Hacker Dùng 2700 Usd Để Lấy Đi 158 Triệu Usd Từ Dự Án Team Finance — Hacker dùng 2.400 USD để lấy đi 15,8 triệu USD từ dự án Team Finance

Chiều ngày 27/10, giao thức Team Finance đã bị kẻ xấu đột nhập, bòn rút hết 15.8 triệu USD token. Sự cố làm liên lụy đến 4 dự án gồm CAW (A Hunters Dream), Dejitaru Tsuka, Kondux và Feg. Trong đó, CAW thiệt hại nặng nhất với 1,5 triệu USD.

We have just been alerted of an exploit on Team Finance.
We are currently unsure of the details.
We urge the exploiter to get in contact with us for a bounty payment

We are working to analyze and remedy the situation at this very moment.

More details to follow

— Team Finance (@TeamFinance_) October 27, 2022

Nền tảng khóa thanh khoản DeFi xác nhận sự cố, vạch trần kẻ tấn công đã lợi dụng kẽ hở trong chức năng di chuyển giữa phiên bản v2 sang phiên bản v3 đã được kiểm toán. Lỗ hổng này đã “tiếp tay” cho hacker thao túng giá token thanh khoản khi chúng được chuyển từ v2 sang v3. Sự chênh lệch giá đã mang về “bộn tiền” cho kẻ xấu.

“Chúng tôi đã tạm dừng mọi hoạt động cho đến khi khắc phục hoàn toàn sự cố. Số tài sản còn lại trên Team Finance hiện đã được an toàn”, Team Finance tuyên bố.

Theo “cảnh sát on-chain” PeckShield, hacker đã sử dụng 1,76 Ethereum (2.700 USD) để kích hoạt cuộc tấn công. Địa chỉ ví của chúng vẫn đang nắm giữ 6,43 triệu DAI và 880 ETH, tương đương với 1,36 triệu USD.

2/ The protocol has a flawed migrate() that is exploited to transfer real UniswapV2 liquidity to an attacker-controlled new V3 pair with skewed price, resulting in huge leftover as the refund for profit. Also, the authorized sender check is bypassed by locking any tokens. pic.twitter.com/G2QVNU7DgU

— PeckShield Inc. (@peckshield) October 27, 2022