Kẻ tấn công đã khai thác lỗ hổng trên Team Finance để di dời các token thanh khoản bị khóa, dẫn đến thiệt hại lên đến 15,8 triệu USD.
Chiều ngày 27/10, giao thức Team Finance đã bị kẻ xấu đột nhập, bòn rút hết 15.8 triệu USD token. Sự cố làm liên lụy đến 4 dự án gồm CAW (A Hunters Dream), Dejitaru Tsuka, Kondux và Feg. Trong đó, CAW thiệt hại nặng nhất với 1,5 triệu USD.
We have just been alerted of an exploit on Team Finance.
We are currently unsure of the details.
We urge the exploiter to get in contact with us for a bounty paymentWe are working to analyze and remedy the situation at this very moment.
More details to follow
— Team Finance (@TeamFinance_) October 27, 2022
Nền tảng khóa thanh khoản DeFi xác nhận sự cố, vạch trần kẻ tấn công đã lợi dụng kẽ hở trong chức năng di chuyển giữa phiên bản v2 sang phiên bản v3 đã được kiểm toán. Lỗ hổng này đã “tiếp tay” cho hacker thao túng giá token thanh khoản khi chúng được chuyển từ v2 sang v3. Sự chênh lệch giá đã mang về “bộn tiền” cho kẻ xấu.
“Chúng tôi đã tạm dừng mọi hoạt động cho đến khi khắc phục hoàn toàn sự cố. Số tài sản còn lại trên Team Finance hiện đã được an toàn”, Team Finance tuyên bố.
Theo “cảnh sát on-chain” PeckShield, hacker đã sử dụng 1,76 Ethereum (2.700 USD) để kích hoạt cuộc tấn công. Địa chỉ ví của chúng vẫn đang nắm giữ 6,43 triệu DAI và 880 ETH, tương đương với 1,36 triệu USD.
2/ The protocol has a flawed migrate() that is exploited to transfer real UniswapV2 liquidity to an attacker-controlled new V3 pair with skewed price, resulting in huge leftover as the refund for profit. Also, the authorized sender check is bypassed by locking any tokens. pic.twitter.com/G2QVNU7DgU
— PeckShield Inc. (@peckshield) October 27, 2022
Ngay sau sự cố đáng tiếc, Team Finance đã lên tiếng nhượng bộ, kêu gọi hacker trả lại tiền với một khoản thưởng bounty xứng đáng. Những khoản dàn xếp này đang trở nên khá phổ biến trong không gian DeFi, giữa bối cảnh sự cố bảo mật xảy ra như “cơm bữa” hiện nay.
Đầu tháng này, Mango Markets cũng bị rút sạch 114 triệu USD, kẻ tấn công sau đó tuyên bố đây chỉ đơn giản là một “chiến lược giao dịch sinh lời cao”.
Coincuatui tổng hợp
Có thể bạn quan tâm:
Nguồn: Coin68