🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện Đa khoa huyện Mê Linh đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Hoài Đức, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Kim Sơn, thị xã Sơn Tây, Hà Nội đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Lỗ hổng kiểm soát truy cập SafeMoon bị lạm dụng để rút 8,9 triệu đô la

31/03/2023

Nhóm thanh khoản token SafeMoon đã bị mất 8,9 triệu đô la sau khi một tin tặc khai thác chức năng hợp đồng thông minh mới ('burn' smart contract) được thiết kế để ‘thổi phồng giá’ của các token, cho phép người dùng bán SafeMoon với giá cao hơn nhiều.

Nhóm thanh khoản trong nền tảng DeFi là các khoản tiền gửi lớn (tiền điện tử) tạo điều kiện thuận lợi cho giao dịch, cung cấp tính thanh khoản cho thị trường và thường cho phép các sàn giao dịch hoạt động mà không cần vay từ bên thứ ba.

SafeMoon đã xác nhận sự cố bảo mật này trên Twitter và tuyên bố rằng họ hiện đang làm việc để giải quyết vấn đề.

Giám đốc điều hành của SafeMoon, John Karony, cho biết cuộc tấn công đã xảy ra vào thứ Ba, ngày 28 tháng 3, ảnh hưởng đến nhóm thanh khoản SFM:BNB nhưng không ảnh hưởng đến sàn giao dịch của nền tảng.

“Chúng tôi đã xác định vị trí khai thác bị nghi ngờ, vá lỗ hổng và đang nhờ một chuyên gia điều tra forensics để xác định bản chất và mức độ chính xác của việc khai thác”.

"Người dùng nên yên tâm rằng mã token của họ vẫn an toàn. Tôi muốn đảm bảo với bạn rằng các nhóm thanh khoản khác trên DEX không bị ảnh hưởng cũng như không có bất kỳ bản nâng cấp hay bản phát hành sắp tới nào của chúng tôi."

Chi tiết sự việc

Các chuyên gia bảo mật blockchain PeckShield đã tiết lộ thêm chi tiết về lỗ hổng bị tin tặc khai thác để thực hiện vụ cướp 9 triệu đô la đối với SafeMoon.

Theo PeckShield, một bản cập nhật gần đây đã giới thiệu chức năng hợp đồng thông minh SafeMoon mới giúp ‘đốt cháy’ mã token. Chức năng này không bị hạn chế, cho phép mọi người thực hiện nó theo ý muốn.

Karony trước đây cho biết rằng hệ thống này sẽ chỉ được sử dụng trong các trường hợp khẩn cấp, như khi nhóm thanh khoản gặp rủi ro với các hợp đồng thông minh độc hại, trượt giá quá mức hay các khoản lỗ tạm thời khác.

Do không bị hạn chế, tin tặc đã có thể lạm dụng chức năng này để ‘đốt’ một lượng lớn mã token SafeMoon, khiến giá của nó tăng vọt.

Ngay sau khi giá tăng, một địa chỉ ví điện tử đã bán SafeMoon với giá bị thao túng và rút ​​8,9 triệu đô từ nhóm thanh khoản SafeMoon: WBNB.

Vài giờ sau vụ tấn công, đối tượng đã chuyển đổi SafeMoon thành BNB tuyên bố họ không phải là người tấn công ban đầu mà chỉ "vô tình thực hiện hành vi giao dịch" sau khi giá bị thổi phồng do khai thác chức năng burn.

Mặc dù không rõ liệu người này có phải là kẻ đã khai thác lỗ hổng hay không, nhưng họ đã đề nghị trả lại số tiền bị đánh cắp cho SafeMoon.

Sự cố này như một lời nhắc nhở gửi đến các nhà phát triển ứng dụng trong việc kiểm tra và phân quyền chặt chẽ đối với các tính năng/chức năng trong ứng dụng của mình, các tính năng tốt nhất nên được hạn chế truy cập theo mặc định và chỉ có thể được sử dụng bởi những người được cấp phép.

Nguồn: bleepingcomputer.com.

scrolltop