Vụ *DeFi* bị đánh cắp *900 triệu đô la Mỹ* cuối tuần qua được xác định bắt nguồn từ lỗi *từ*oracle* từ*, khiến hợp đồng trên *từ*Hedera(HBAR)* từ* bị phơi bày lỗ hổng. Nền tảng cho vay *từ*Bonzo Lend* từ* cho biết kẻ tấn công đã lợi dụng cơ chế định giá sai, đẩy giá trị tài sản thế chấp lên mức bất thường, từ đó vay được lượng vốn lớn hơn rất nhiều so với giá trị thực.
Theo *từ*Protos* từ* đưa tin ngày 24 (giờ địa phương), lỗ hổng xuất phát từ *từ*oracle* từ* do công ty hạ tầng blockchain *từ*Supra Network* từ* cung cấp. Supra trước đó đã tiến hành vá lỗi *từ*oracle* từ* trên 11 mạng lưới, nhưng các hợp đồng triển khai trên *từ*Hedera(HBAR)* từ* lại bị bỏ sót, trở thành mục tiêu tấn công. Ngay sau vụ việc, Usmann Khan từ Plasma cũng chỉ ra rằng Supra đã nâng cấp *từ*oracle* từ* trên nhiều chuỗi, nhưng hợp đồng Hedera mà *từ*Bonzo Lend* từ* sử dụng vẫn không được đụng tới.
Trong báo cáo công bố khoảng 12 giờ sau sự cố, Supra mô tả lỗi này là một “trường hợp biên về mặt mật mã” nhưng không giải thích cụ thể cách họ sửa các bản triển khai trên chuỗi khác. Supra chỉ cho biết đã rà soát những *từ*oracle* từ* khác dùng chung mô hình trình xác thực, để đảm bảo các cơ chế bảo vệ tương tự được áp dụng. Đồng sáng lập kiêm giám đốc điều hành (CEO) Supra, *từ*Josh Tobkin* từ*, còn tuyên bố rằng đây là lỗi con người bỏ sót suốt 2 năm và đã bị “tấn công có hỗ trợ AI” phát hiện ra.
Kết quả phân tích dữ liệu on-chain do Tomachi Anura, nhà sáng lập HSuite, công bố sau đó cho thấy Supra đã tiến hành nâng cấp proxy cho tổng cộng 11 chuỗi, từ Base ngày 29 tháng 6 đến Polygon(MATIC) ngày 3 tháng 7 (giờ địa phương). Tuy nhiên, *từ*Hedera(HBAR)* từ* và Fuse chỉ được sửa sau khi vụ tấn công xảy ra. Anura cũng phát hiện toàn bộ các bản triển khai có mã nguồn được xác minh đều trỏ về cùng một hợp đồng “SupraSValueFeedVerifier”, nhưng vì sao quá trình sửa lỗi lại dừng lại ở mốc ngày 3 tháng 7 vẫn chưa được làm rõ.
Vụ việc một lần nữa cho thấy sai sót trong *từ*oracle* từ* có thể gây thiệt hại nghiêm trọng như thế nào trong hệ sinh thái *từ*DeFi* từ*. Vai trò của *từ*oracle* từ* là đưa dữ liệu giá bên ngoài vào on-chain, làm nền tảng cho các hoạt động cho vay, thanh lý và định giá tài sản thế chấp. Chỉ một sai lệch nhỏ cũng có thể bị kẻ xấu tận dụng. Trong vài tháng gần đây, các vụ tấn công và thao túng *từ*oracle* từ* đã gây thêm ít nhất 3,5 triệu đô la Mỹ thiệt hại; một trường hợp khác liên quan đến chênh lệch thời điểm cập nhật dữ liệu đã dẫn đến pha thanh lý wstETH sai lệch trị giá 27 triệu đô la Mỹ trên thị trường Ethereum của Aave(ETH).
"bình luận" Những vụ việc liên tiếp cho thấy bảo mật *từ*oracle* từ* đang trở thành mắt xích quyết định niềm tin với toàn bộ thị trường *từ*DeFi* từ*. Chỉ cần một nhà cung cấp dữ liệu chậm vá lỗi hoặc triển khai thiếu nhất quán trên các chuỗi, hệ sinh thái phía trên – từ giao thức cho vay, giao dịch đòn bẩy đến các sản phẩm phái sinh – đều có thể đối mặt nguy cơ tổn thất hàng chục triệu đô la Mỹ trong thời gian rất ngắn.
Bình luận 0