Thứ Ba vừa qua, một con cá voi tiền điện tử đã bị mất khoảng 55,4 triệu USD giá trị stablecoin DAI do một cuộc tấn công phishing tinh vi, theo thông tin từ nhà phân tích on-chain ZachXBT.
Nguồn: Etherscan
Công ty bảo mật CertiK đã xác định rằng kẻ tấn công có thể đã sử dụng công cụ phishing có tên Inferno Drainer để thực hiện cuộc tấn công. Công cụ này lừa đảo nạn nhân thông qua các trang web hoặc email giả mạo, nhằm lấy cắp thông tin cá nhân từ các nền tảng giao dịch hoặc giao thức DeFi hợp pháp.
Kẻ tấn công đã khai thác một lỗ hổng bảo mật để truy cập vào tài khoản sở hữu bên ngoài (EOA) của nạn nhân, tài khoản này quản lý một Maker Vault. Maker Vault là các vị trí nợ đảm bảo cho phép người dùng vay stablecoin DAI bằng cách gửi tài sản đảm bảo.
Sau khi chiếm quyền kiểm soát EOA, kẻ tấn công đã chuyển quyền sở hữu của hợp đồng thông minh DSProxy (proxy dịch vụ phi tập trung) #166.776 từ tài khoản của nạn nhân sang một địa chỉ mới do chính kẻ tấn công kiểm soát. DSProxy là một hợp đồng thông minh cho phép thực hiện nhiều lệnh hợp đồng trong một giao dịch duy nhất.
Kẻ tấn công đã thay đổi địa chỉ chủ sở hữu của Maker Vault thành địa chỉ ví của mình và sau đó đúc thành công 55.473.618 DAI vào vault này.
Sự cố này là một phần trong xu hướng gia tăng các vụ tấn công nhắm vào các giao thức DeFi. Ví dụ, một sự cố bảo mật gần đây đối với giao thức tổng hợp DEX và cầu nối LI.FI đã gây thiệt hại lên tới 10 triệu USD.
Theo báo cáo của Immunefi vào tháng 7, ngành công nghiệp tiền điện tử đã ghi nhận tổng thiệt hại hơn 1,19 tỷ USD do các vụ hack và scam tính đến thời điểm hiện tại.
Itadori
Theo The Block