Nạn nhân đầu tiên chính là giao thức Deus Finance (DEUS/DEI), cuộc tấn cộng được thực hiện trên mạng Fantom và tổng thiệt hại lên đến khoảng 3 triệu USD.
Theo PeckShield, các “hacker” đã lợi dụng cơ chế flash loan để rút tiền từ hợp đồng lending stablecoin của dự án. Sau khi vay một lượng lớn tiền bằng flash loan, các đối tượng đã sử dụng nó để thao túng giá trị của cặp giao dịch USDC/DEI trên Deus và kiếm lời từ sự chênh lệch giá. Nhờ thủ đoạn này, chúng đã rút thành công 1.100 ETH và 200.000 DAI từ Deus, trị giá khoảng 3 triệu USD, và “hợp thức hoá” số tiền này qua máy Tornado Cash.
Đội ngũ Deus Finance không lâu sau đó đã lên tiếng xác nhận về cuộc tấn công và cam kết sẽ bồi thường cho những người dùng bị thiệt hại vì hành vi thao túng kể trên.
Sau đó không lâu, vào tối ngày 15/03, hai dự án lending khác trên Gnosis Chain là Agave (AGVE) và Hundred Finance (HND) cũng bị tấn công theo phương thức tương tự. Đầu tiên, kẻ tấn công đã lợi dụng lỗ hổng reentrancy trên cả Agave và Hundred để “lừa” hợp đồng thông minh của 2 dự án tiến hành tương tác với hợp đồng chứa lệnh tấn công. Đối tượng sau đó tiếp tục dùng flash loan để vay một lượng lớn coin, trước khi trả nợ và giữ lại phần tiền chênh lệch. Theo thống kê, thiệt hại tổng cộng của Agave và Hundred phải hứng chịu là lên đến 11 triệu USD. Cả hai dự án hiện đã cho dừng khẩn cấp mọi hoạt động để tiến hành điều tra và khắc phục lỗ hổng, song chưa có bất kỳ thông báo gì về việc bồi thường thiệt hại.
Flash loan từ lâu đã là “con dao hai lưỡi” ám ảnh ngành DeFi. Một mặt, nó giúp người dùng dễ dàng tiếp cận đến một lượng thanh khoản dồi dào để tham gia các giao thức, miễn là khoản vay phải được hoàn trả trong cùng block giao dịch. Mặt khác, nó mở ra cơ hội để kẻ xấu lợi dụng để bòn rút tiền từ các dự án có lỗ hổng smart contract như các trường hợp nêu trên.
CABO Teams tổng hợp
