Nền tảng cầu nối token Meter Passport đã phải hứng chịu thiệt hại lên tới 4,4 triệu USD do bị hack hợp đồng thông minh. Đáng chú ý, trước đó, Hundred Finance cũng bị đánh cắp 3,3 triệu USD với lý do tương tự.
Cụ thể, bắt đầu từ 2 giờ chiều theo giờ UTC vào ngày 5/2, khoảng 4,4 triệu USD Binance Coin (BNB) và WETH đã được mint thông qua các hợp đồng thông minh giả.
Community, we really appreciate everyone's patience and support as we work to get back up and running after this morning's exploit.
We have detailed everything in the below thread:
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
Cuộc tấn công đã gây thiệt hại cho toàn bộ hệ sinh thái Moonriver, một blockchain tương thích với EVM, hoạt động dưới vai trò là một parachain trên mạng lưới Kusama. Sau khi rút sạch nguồn trữ BNB và wETH của Meter, hacker đã lập tức bán BNB trên SushiSwap, khiến giá của BNB trên Moonriver tụt tới 77% vào thời điểm đó.
Sau đó, một số kẻ đã lợi dụng điều này và mua BNB với giá siêu rẻ, rồi sử dụng các token mua được làm tài sản thế chấp trên Hundred Finance để vay ETH, FRAX và MIM. Tuy nhiên, do sự chênh lệch về giá BNB, giá trị các khoản vay vượt xa giá trị tài sản thế chấp, gây ra khủng hoảng nguồn cung.
1/4. Today Hundred Finance's @MoonriverNW deployment was effected by a bridge attack on @Meter_IO that resulted in the local depreciation in the price of BNB.bsc.
— Hundred Finance (@HundredFinance) February 6, 2022
May mắn thay, hai trong số các khoản vay đã được hoàn trả, giảm thiệt hại xuống còn 3,3 triệu USD. Trong đó, khoản vay ETH đã được hoàn trả hoàn toàn. Phía Hundred Finance đang cố gắng liên hệ với các bên liên quan để yêu cầu họ trả lại token BNB đã sử dụng làm tài sản thế chấp cho Meter.
Đội ngũ Meter đã cam kết hoàn trả tiền cho cộng đồng, cũng như Hundred Finance cho những tổn thất phát sinh do vụ hack. Vào ngày 6/2, nhóm tiết lộ đã dành ra 4,4 triệu USD MTRG để trang trải các khoản lỗ ban đầu.
"Meter đã nhận toàn bộ trách nhiệm vụ hack về mình, đồng thời đang có ý định sử dụng token gốc của họ để hoàn trả trong phạm vi nhất định, hiện tại chúng tôi cũng đang trong giai đoạn thu thập địa chỉ và lượng tiền giao dịch", Vfat, nhà sáng lập ẩn danh của Hundred Finance, chia sẻ với Rekt News.
Công ty bảo mật blockchain PeckShield ước tính có tổng cộng 1.391 ETH và 2,74 wBTC đã bị hacker chiếm đoạt. Trong đó, các token đã được chuyển hết sang Ethereum thông qua Tornado Cash, công cụ bảo mật giao dịch ETH.
Hundred Finance sẽ tạm ngưng hoạt động một ngày trước khi mở lại giao dịch MIM và FRAX trên nền tảng của mình.
"Chúng tôi hy vọng các cầu nối sẽ giúp tăng cường bảo mật, cũng như độ an toàn công nghệ cho Meter. Về phía chúng tôi, cầu nối và tài sản kỹ thuật số hoạt động trên các chuỗi mới chắc chắn sẽ bị giám sát nghiêm ngặt hơn nhiều, rút kinh nghiệm từ những người đi trước”, đội ngũ Hundred Finance chia sẻ.
Các chi tiết về quá trình khai thác token của Meter khá giống với vụ hack Wormhole vào ngày 3/2, trong đó 120.000 wETH (tương đương với 321 triệu USD) đã được mint và trích xuất ra khỏi Wormhole. Hacker đã khai thác một lỗ hổng trong hợp đồng thông minh để xử lý WETH theo ý muốn và đổi hết token sang ETH, thông qua Tornado Cash.
Theo: Cointelegraph