Khoảng 1 giờ chiều theo giờ TC, bộ phần xử lý của Twitter cho Poly Network đã thông báo một cuộc tấn công vào nền tảng của họ, đây là cuộc tấn công tồi tệ nhất vào DeFi kể từ khi nó thành lập. Tin tặc đã chuyển hơn 600 triệu USD sang Polygon, Ethereum và Binance Smart Chain (BSC).

Cụ thể, PolyNetwork là giao thức được xây dựng với mục đích hoạt động nhiều chuỗi khối để thức hiện các giao dịch với sàn giao dịch DEX, đi vay và cho vay cũng như các dịch vụ dựa trên stablecoin. Nền tảng này đã được tích hợp với BTC, ETH, BSC, Ontology, Elrond, Ziliqa và những người khác.

PolyNetwork cũng đã kêu gọi các sàn giao dịch tiền điện tử, các thợ đào và các tổ chức đưa các khoản tiền trong stablecoin và mã thông báo DeFi vào danh sách đen, gồm có Wrapped Bitcoin (WBTC), Wrapped Ethereum (WETH), FEI, USD Coin (USDC), RenBTC, DAI, UNI, Shiba Inu (SHIB), Tether (USDT).

Vụ tấn công diễn ra ở một nhóm giao dịch blockchain tương tác được xây dựng với O3 Labs hay còn được gọi là O3 Swap.

Sau khi điều tra sơ bộ, chúng tôi xác định được nguyên nhân của các lỗ hổng bảo mật. Tin tặc đã khai thác lỗ hổng của các cuộc gọi hợp đồng, việc làm này không phải do 1 người làm như đã đồn đại. Dù tin tặc đã thành công chuyển tiền nhưng thực thể Tether đã phản hồi nội dung được gọi và nằm trong danh sách đen của Poly Network. Kẻ tấn công đã rửa chiến lợi phẩm bằng cách sử dụng Curve và các giao thức khác. Nhưng đã có một số giao dịch không thành công vì USDT trong danh sách đã được sử dụng trong các giao dịch trước đó.

Một thành viên có tên là Hanashiro.eth đã cảnh báo tin tặc sẽ sử dụng USDT qua tin nhắn ở trong 1 giao dịch, nhận được 42.000 đô la hoạc 13,37 ETH từ một địa chỉ đã được liên kết với PolyNetwork Exploiter.



Đã xác định được tin tặc DeFi?

Kẻ tấn công đã chuyển đổi một phần lớn tiền, ngoại trừ các stablecoin tập trung là không thể chuyển đổi. Poly Network đã có thông báo sau khi thiết lập được kênh liên lạc với tin tặc và lấy được một phần mã DeFi:

Số tiền mà bạn hack được là số tiền lớn nhất trong lịch sử DeFi. Bất kỳ một cơ quan pháp luật ở quốc gia nào cũng sẽ coi đây là tội phạm kinh tế lớn, tất nhiên bạn sẽ bị truy đuổi. Sẽ thực sự thiếu khôn ngoan nếu như bạn thực hiện các giao dịch tiếp theo.

Sau đó, công ty bảo mật SlowMist đã xuất bản bản báo cáo tuyên bố rằng họ đã xác định được IP,  hộp thư và vân tay của kẻ đã tấn công. Dường như công ty đã sử dụng tài liệu trên chuỗi và cả ngoài chuỗi để theo dõi tin tặc, cùng với đó là sự trợ giúp của các đối tác và nền tảng trao đổi của họ.

Các báo cáo khác cũng cho rằng, DeFi gắn liền với các tổ chức phi tập trung nên nó có thể truy tìm được kẻ đã tấn công.

Tin tặc mạng Poly nói trả lại hàng triệu token Defi

Hai ngày sau khi vụ tấn công Poly Network khét tiếng xảy ra thì hacker tiếp tục gửi tiền về lại dự án. Ngày 12 tháng 8 cho đến nay, tin tặc đã trả lại giá trị hàng triệu ETH, hàng nghìn token đơn và khoảng 1032 BTC, 96 triệu stablecoin. Trước đó 1 ngày, sau khi trả lại 260 triệu USD tiền mã hóa, hacker đã giải thích Poly Network có đủ tài sản để bắt đầu giai đoạn khôi phục. 



Hacker Poly Network trả lại một số token Defi

Ngày 10 tháng 8, các trang tin tức đều đã đưa tin về vụ tấn công tài chính phi tập trung DeFi đã cản trở dự án Poly Network. Từ các tin tức về cuộc tấn công lan truyền trên các trang mạng truyền thông đã làm cho giao thức chéo mất khoảng 611 triệu USD. Ban đầu, Poly Network đã gửi tin nhắn đến hacker để liên lạc với cá nhân đó. Hơn nữa, ở giai đoạn đầu, hacker có vẻ không hợp tác và nói với Poly Network đây có thể là vụ hacker hàng tỷ đô la.

Sau hôm đó, nhóm bảo mật Slowmist trong báo cáo đã công bố những phát hiện mới về hacker. Theo như Slowmist thì họ bắt được dấu vết của tin tặc khi người này sử dụng sàn giao dịch không rõ ràng có tên Hoo.com. Một vài giờ sau, hack đã gửi cho Poly Network 4,7 triệu USD bằng các mã thông báo khác nhau. Đến hết này thứ 4, hacker này đã gửi tất cả 264,7 triệu USD và đã có cuộc nói chuyện với nhóm Poly Network.

Tin tặc cho rằng, vụ tấn công này được thực hiện với mục đích giải trí, sau một thời gian giải thích và trả lại tài sản tiền điện tử thì người tấn công này cảm thấy mệt mỏi. Họ nói rằng họ không sử dụng email và tất cả các thông tin liên lạc đều được thực hiện ở trên chuỗi. Tin tặc nói thêm:

Ở trong thế giới thách thức, bạn không tin tưởng vào ai khác ngoài mật mã và chính bản thân bạn.

Tin tặc tiếp tục trả lại mã thông báo số lượng lớn ở mạng Poly bị đánh cắp

Thứ 5, kẻ tấn công đã trả lại cho Poly Network một kho BTC được bao bọc và stablecoin DAI. Cụ thể, 1.032 WBTC đã được trả lại, cùng với đó là 96 triệu DAI, 42.000 UNI và 84 triệu USD. Kẻ này cũng đã cung cấp cho dự án khoảng 28.953 ETH trị giá hơn 86 triệu đô la vào thời điểm viết bài. Poly Network cũng đã cập nhật được các thông tin liên lạc giữa hacker mũ trắng và kẻ tấn công. 



Binance đã phản ứng ra sao?

Trước những phản ứng mạnh mẽ của cộng đồng, Binance bắt buộc phải công khai về vụ việc này. Đây chính là cách mà Binance đã giải thích:

“Gần đây đã xảy ra hơn 8 vụ hack flash loans. Chúng tôi cho rằng một nhóm hacker có tổ chức đang “để ý” vào BSC. Đây sẽ là thời điểm vô cùng khó khăn đối với cộng đồng. Do vậy, chúng tôi rất mong muốn các bạn chung tay cùng chúng tôi để hành động…”

Binance đã khẳng định là có nhóm hacker đang nhắm đến BSC. Đây có lẽ là việc làm đơn giản nhất, chỉ trong vòng 2 tháng chỉ cần ngồi bấm máy tính là có thể kiếm được 400 triệu đô la.

Chúng ta không thể phủ nhận, BSC hiện tại là mảnh đất cho các dự án phát triển. Thực tế, các dự án xây dựng trên ETH và chain cũng đang có ý định chuyển sang BSC (Binance Smart Chain). Cụ thể, dự án Umbrella Network (UMB) là dự án mới nhất được di chuyển sang BSC. Thậm chí, dự án DeFi tiềm năng nhất EOS cũng đã chạy sang BSC. 

Sức hút của Binance Smart Chain là không thể bàn cãi, thế nhưng càng có nhiều dự án xây nhà trên Binance Smart Chain thì chất lượng cũng sẽ không được đảm bảo như lúc đầu. Sẽ có những dự án nổi bật, sản phẩm tiên tiến, lộ trình rõ ràng nhưng cũng sẽ có những dự án copy-paste từ các dự án có sẵn, với mục đích làm tiền, cuối cùng cũng sẽ làm cộng đồng bỏ chạy. Đã có hàng loạt các dự án như DeFi Meerkat trên Binance Smart Chain bị nghi tẩu tán 31 triệu đô la hay dự án TurtleDex trên BSC ôm 9.000 BNB bỏ chạy,… Dĩ nhiên, đây sẽ không phải lỗi của Binance Smart Chain khi tạo ra BSC. Ở đâu có tiền có người dùng thì sẽ có lừa đảo. Thế nhưng Binance Smart Chain cần phải có các biện pháp kiểm soát chất lượng của các dự án đã được xây dựng trên chain, lúc đó hình ảnh của BSC sẽ không bị xấu đi.