Hệ sinh thái DeFi một lần nữa trở thành thiên đường của kẻ khai thác vào tuần trước khi giao thức cho vay Euler Finance trở thành nạn nhân của một cuộc tấn công cho vay chớp nhoáng dẫn đến khoản lỗ ròng hơn 196 triệu đô la — vụ hack lớn nhất năm 2023 cho đến nay.

Ngoài câu chuyện về Tài chính Euler, USD Coin depegging là sự kiện quan trọng nhất thống trị các tiêu đề của tuần trước. Do sự sụp đổ của Ngân hàng Thung lũng Silicon, các nhà đầu tư đã chất đầy túi của họ bằng USDC, cùng với việc rút tiền khỏi các sàn giao dịch tập trung (CEX) và các sàn giao dịch phi tập trung (DEX).

MakerDAO đã đưa ra một đề xuất khẩn cấp nhằm tăng tỷ lệ nắm giữ trái phiếu kho bạc Hoa Kỳ lên 150%, nhằm đa dạng hóa Dai của mình.

MetaMask đã giới thiệu các tính năng mới với khả năng kiểm soát nâng cao để tránh những lo ngại về quyền riêng tư. Các tính năng mới cho phép người dùng quản lý máy chủ nào có thể nhận địa chỉ IP của họ.

Thị trường DeFi đã có một tuần tăng giá khác nhờ tâm lý tích cực ngày càng tăng trên thị trường tiền điện tử rộng lớn hơn trong bối cảnh các ngân hàng lớn ở Hoa Kỳ rút tiền. Hầu hết trong số 100 mã thông báo DeFi hàng đầu đều ghi nhận mức tăng trưởng hai con số vào tuần trước, với nhiều mã thông báo chạm mức cao mới trong nhiều tháng.

Euler Finance bị hack hơn 195 triệu đô la trong cuộc tấn công flash loan

Giao thức cho vay không giám sát dựa trên Ethereum Euler Finance đã phải đối mặt với một cuộc tấn công cho vay chớp nhoáng vào ngày 13 tháng 3. Kẻ tấn công đã đánh cắp hàng triệu đô la DAI, USDC, đặt cọc Ether (StETH) và Bitcoin được bao bọc (WBTC).

Theo dữ liệu trên chuỗi, theo bản cập nhật cuối cùng, kẻ khai thác đã thực hiện nhiều giao dịch, đánh cắp gần 197 triệu đô la. Cuộc tấn công tương quan với cuộc tấn công giảm phát một tháng trước. Kẻ tấn công đã sử dụng một cây cầu đa chuỗi để chuyển tiền từ Chuỗi thông minh BNB sang Ethereum.

Theo  công ty phân tích tiền điện tử Meta Seluth, cuộc tấn công tương quan với cuộc tấn công giảm phát một tháng trước. Kẻ tấn công đã sử dụng một cây cầu đa chuỗi để chuyển tiền từ Chuỗi thông minh BNB (BSC) sang Ethereum và tiến hành cuộc tấn công ngày hôm nay.

Sự di chuyển của các quỹ từ Euler Finance. Nguồn: Meta Seluth

ZachXBT, một nhà điều tra on-chain nổi bật khác, đã nhắc lại điều tương tự và nói rằng sự di chuyển của các quỹ và bản chất của cuộc tấn công có vẻ khá giống với những chiếc mũ đen đã khai thác một giao thức dựa trên BSC vào tháng trước. Sau khi khai thác một giao thức trên BSC, tiền đã được gửi vào bộ trộn tiền điện tử, Tornado Cash. 

Số tiền bị đánh cắp hiện đang nằm trong các địa chỉ tin tặc sau:

• 0xebc29199c817dc47ba12e3f86102564d640cbf99 (Hợp đồng) - 8.877.507,34 DAI
• 0xb2698c2d99ad2c302a95a8db26b08d17a77cedd4 - 8.080,97 ETH
• 0xb66cd966670d962c227b3eaba30a872dbfb995db - 88.752,69 ETH & 34.186.225,91 DAI

Euler Finance thừa nhận việc khai thác và cho biết họ hiện đang làm việc với các chuyên gia bảo mật và cơ quan thực thi pháp luật để giải quyết vấn đề.

Một phân tích chi tiết về cuộc tấn công của công ty bảo mật chuỗi khối Slowmist chỉ ra rằng kẻ tấn công đã sử dụng các khoản vay nhanh để gửi tiền và sau đó sử dụng chúng hai lần để kích hoạt thanh lý. Người khai thác đã quyên góp tiền cho địa chỉ dành riêng và tiến hành tự thanh lý để thu thập bất kỳ tài sản nào còn lại.

Có hai yếu tố góp phần vào sự thành công của việc khai thác. Đầu tiên, tiền được quyên góp cho địa chỉ dành riêng mà không bị kiểm tra thanh khoản, kích hoạt thanh lý mềm. Thứ hai, logic thanh lý mềm được kích hoạt bởi đòn bẩy cao, cho phép người thanh lý có được hầu hết các khoản tiền thế chấp từ tài khoản của người dùng bị thanh lý bằng cách chỉ chuyển một phần nợ cho chính họ.

Gustavo Gonzalez, nhà phát triển giải pháp tại công ty bảo mật chuỗi khối OpenZeppelin, nói với Cointelegraph rằng tất cả chỉ xảy ra trong một giao dịch (một giao dịch cho mỗi nhóm) sử dụng các khoản vay flash từ AAVE. Anh ấy đã giải thích:

Euler Finance đã huy động được 32 triệu đô la trong vòng cấp vốn vào năm ngoái với sự tham gia của FTX, Coinbase, Jump, Jane Street và Uniswap.

Euler Finance đã trở nên khá nổi tiếng nhờ cung cấp các dịch vụ phái sinh đặt cược thanh khoản (LSD). LSD là một loại mã thông báo tương đối mới cho phép người đặt cược tăng lợi nhuận tiềm năng bằng cách mở khóa tính thanh khoản cho tiền điện tử được đặt cọc, chẳng hạn như Ether. Hiện tại, LSD chiếm tới 20% tổng giá trị bị khóa trong các giao thức tài chính phi tập trung.