Thảm họa DeFi: $31 M thoát nước từ MonoX và BadgerDAO lỗ top $120 M

$100M rút ra từ nền tảng Solana DeFi Mango Markets, token sụt giảm 52%

October 12, 2022

Hacker Mango Markets đề xuất giải quyết dốc

October 12, 2022

Hơn150 triệu đô la đã bị mất trong tuần này trong các vi phạm an ninh riêng biệt tại các dự án DeFi MonoX và BadgerDAO.

Sàn

giao dịch phi tập trung đa chuỗi (DEX) MonoX (MONO) phải chịu một cuộc tấn công mạng vào ngày 30 tháng 11 dẫn đến khoảng 31 triệu đô la thiệt hại. BadgerDAO (BADGER) phải chịu một cuộc tấn công front-end được phát hiện vào ngày 2 tháng 12 với ước tính tổn thất của Badger đạt hơn 120 triệu đô la.

Nền tảng MonoX DEX bị một cuộc tấn công duy nhất vào ngày 30 tháng 11. Trong cuộc tấn công này, một lỗi trong hợp đồng thông minh cho phép sự khác biệt tồn tại giữa giá tài sản, khi thay đổi thủ công.

RektNews giải thích rằng tin tặc đã có thể thổi phồng giá MONO thông qua hợp đồng thông minh, sau đó mua lên các tài sản khác từ giao thức với MONO.

“Hacker đã tạo ra một vòng lặp trong đó giá của tokenOut sẽ ghi đè lên giá của tokenIn, bơm giá MONO trong quá trình nhiều ‘hoán đổi. ‘”

NhómMonoX đã xác nhận nhiều trong một tweet 30 tháng 11. Trong một hậu chết được công bố vào ngày 2 tháng 12, tổng thiệt hại đã được xác nhận là khoảng 31 triệu đô la. Nhóm nghiên cứu nói thêm:

“Những ngày như ngày hôm qua thật kinh khủng, không có đường phủ thực tế khắc nghiệt của một hợp đồng đang bị khai thác và mọi người mất tiền. Những người ủng hộ chúng tôi đặt niềm tin vào một dự án mới như chúng tôi, và ngày hôm qua chúng tôi đã làm họ thất vọng.

MONOđược liệt kê trên Huobi chỉ năm ngày trước khi hack trên MonoX.

Viphạm bảo mật Badger là một mối đe dọa liên tục đối với người dùng tương tác với nền tảng của Badger DAO thay vì một khai thác lớn duy nhất.

Ngườidùng Discord bắt đầu báo cáo các yêu cầu chi tiêu bất thường từ nền tảng Badger và cảnh báo quản trị viên trên phương tiện truyền thông xã hội và trên Discord sớm nhất là ngày 27 tháng 11.

AdminBlackbear trả lời rằng yêu cầu là bất thường, nhưng có thể gây ra bởi một lỗi lành tính trong giao diện người dùng front-end (UI).

https://twitter.com/0xMoves/status/1466275399944445952

Lỗi trong giao diện người dùng hóa ra là kẻ tấn công độc hại cố gắng ăn cắp tiền từ việc rút tiền của người dùng đó. Chiến thuật tương tự sẽ được sử dụng trên người dùng ngẫu nhiên trong nhiều ngày, hoặc thậm chí vài tuần trước khi nó được phát hiện như là một vi phạm bảo mật.

Liênquan: Tin tặc có thể sử dụng tài khoản Google Cloud bị xâm phạm để cài đặt phần mềm khai thác trong vòng chưa đầy 30 giây: Báo cáo

Tạithời điểm viết bài, tổn thất từ cuộc tấn công Badger lên tới hơn 120 triệu đô la, bao gồm 2078.76 BTC, 30.27 ibBTC và 151.32 ETH, theo công ty phân tích blockchain PeckShield. Nhóm Badger đã điều tra vấn đề và đã tạm dừng tất cả các hợp đồng thông minh trên giao thức để tránh thêm bất kỳ tổn thất nào.