Mức độ an toàn và tính bảo mật vẫn là dấu hỏi lớn đối với công nghệ Blockchain và tiền kỹ thuật số. Những sự cố về lỗ hổng bảo mật dẫn đến mất cắp dữ liệu, tài sản vẫn diễn ra từ trước đến nay mà chưa có lời giải. Hãy cùng tienthuattoan Capital điểm lại những vụ hack gây thiệt hại nghiêm trọng nhất trong thị trường Crypto năm 2020 nhé
1. SharkTron – 260 triệu đô la
SharkTron, một nền tảng DeFi trên Tron network đã bị hack nghiêm trọng. Thông tin được Tron Foundation đưa ra vào ngày 9 tháng 11.
Theo một số báo cáo, tổng số tiền bị mất là 260 triệu đô la. Tất cả đến từ tài sản của người dùng của Shark Invest và Shark Dice. Đây là các nền tảng liên kết với SharkTron.
Tron Foundation cho biết họ đã hợp tác với sàn giao dịch Binance và đóng băng một số khoản tiền bị đánh cắp. Đồng thời, tổ chức này cũng hứa sẽ truy tìm và đóng băng phần tiền còn lại.
2. Lendf.me – 25 triệu đô la
Vào ngày 19 tháng 4 , một hacker đã lấy cắp 25 triệu đô la từ nền tảng cho vay phi tập trung Lendf.me. Hacker này đã khai thác lỗ hổng bảo mật nổi tiếng của Ethereum để tấn công.
Điều đáng nói, lỗ hổng này cũng chính là nguyên nhân dẫn đến vụ hack The DAO khét tiếng vào năm 2016. Mặc dù sau đó tin tặc đã trả lại số tiền bị đánh cắp, nhưng điều này cũng không giúp Lendf.Me tránh khỏi những lời chỉ trích.
3. Harvest – 24 triệu đô la
Công cụ Harvest Finance giúp tổng hợp lợi nhuận DeFi. Harvest cho phép nhà tổng hợp lợi nhuận thực hiện chiến lược đầu tư vào các dự án DeFi để thu được lợi tức tối đa.
Vào ngày 26 tháng 10, Harvest đã bị đánh cắp 24 triệu đô la bởi một hacker khi tên này đã tận dụng lỗ hổng của nền tảng. Harvest sau đó nhận được những chỉ trích nặng nề từ người dùng và truyền thông.
Trước đó, nhiều người đã tỏ ra lo ngại về mức độ an toàn của 1 tỷ đô la tài sản bị khóa trên nền tảng Harvest. Dù vậy các nhà phát triển đã không khắc phục được vấn đề này.
Kẻ tấn công sử dụng các khoản vay nhanh để thao túng giá các stablecoin. Chúng sử dụng chênh lệch giá để mua nhiều stablecoin hơn bình thường. Nhóm phát triển của Harvest đã tuyên bố trao thưởng khoản tiền 100.000 đô la cho ai tìm ra thủ phạm. Tuy nhiên cho đến nay họ vẫn chưa thể tìm ra kẻ tấn công này.
4. Eminence – 15 triệu đô la
Những dự án của nhà sáng lập Andre Cronje gần đây đã tạo ra cơn sốt với nền tảng canh tác năng suất “Yearn Farming”. Token quản trị YFI đã tăng giá lên hàng chục nghìn đô la chỉ trong vài tuần.
Do đó, nhiều nhà đầu tư tập vào các dự án mới của Andre Cronje để hi vọng kiếm được lợi nhuận cao. Một trong những dự án như vậy là nền tảng chơi game có tên Eminence. Ngay sau đó, rất nhiều người dùng đã đầu tư vào Eminence với tổng giá trị lên đến 15 triệu đô la.
Vì dự án này đang trong giai đoạn thử nghiệm nên vẫn tồn tại một lỗ hổng. Đây là cách mà tin tặc đã lấy tiền của người dùng bằng cách tạo ra mã thông báo EMN giả mạo rồi bán chúng. Sự việc đáng tiếc này này diễn ra vào ngày 28 tháng 9.
Tuy nhiên sau đó các tin tặc đã trả lại 8 triệu đô la qua đồng DAI thông qua một hợp đồng thông minh do Andre quản lý.
5. bZx – 954,000 đô la và 8 triệu đô la
bZx, một dự án DeFi giao dịch ký quỹ và cho vay vừa ra mắt vào năm 2020 đã vướng phải 3 vụ hack liên tiếp. Hai cuộc tấn công lần đầu xảy ra vào ngày 14 tháng 2 và ngày 18 tháng 2 với số tiền thiệt hại gần một triệu đô la.
Không giống như các dự án Defi khác, tin tặc chưa tìm thấy bất kỳ lỗi nào trong nền tảng hợp đồng thông minh của bZx trong 2 lần hack đầu tiên. Thay vào đó, chúng đã khai thác tính liên kết của các giao thức DeFi.
Ở lần tấn công thứ 3 vào ngày 13 tháng 9, một lỗ hổng giao thức nội bộ đã bị hacker phát hiện. Khi người dùng cho vay tài sản trên bZx, họ sẽ nhận được iTokens, giá trị của token này sẽ tăng lên khi khoản cho vay tương ứng tăng lên.
Hacker đã khai thác iTokens mà không cần cho mượn tài sản, sau đó đổi iTokens để lấy tài sản có giá trị khác. 8 triệu đô la là tổng giá trị tài sản bị đánh cắp từ bZx. Mặc dù vậy, nhóm phát triển của dự án đã lần ra dấu vết và lấy lại số tiền bị mất.
6. Akropolis – 2 triệu đô la
Akropolis bị tấn công vào ngày 12 tháng 11 thông qua một lỗ hổng trong cách vận hành của hệ thống. Nhưng Akropolis đã không thừa nhận vụ hack này ngay lập tức.
Theo lý giải của họ, các hợp đồng thông minh của nền tảng đã được kiểm toán riêng biệt bởi hai công ty bảo mật blockchain. Ngoài ra, các nhóm stablecoin của Akropolis đã bị đóng băng ngay sau khi vụ việc xảy ra. Nhóm phát triển của Akropolis sau đó cũng đã tìm cách để bồi thường thiệt hại cho người dùng.
7. Percent Finance – 1 triệu đô la
Vào ngày 4 tháng 11, PercentFinance – một nền tảng cho vay phi tập trung tách ra từ Compound đã bị đóng băng tài sản có giá trị 1 triệu đô la. Hacker đã khai thác lỗ hổng của dự án được lộ ra từ hợp đồng thông minh cũ của Compound.
Nhóm phát triển dự án cũng đề nghị khởi động các hợp đồng cho vay mới, tạo điều kiện cho 73% số tiền của người cho vay USDC sau khi vay các khoản vay của họ. Số WBTC bị mất sẽ bị đóng băng vĩnh viễn, mặc dù vậy số ETH bị mất không có cơ hội phục hồi.
Nguồn: Tienthuattoan Capital tổng hợp