Mozaic Finance, một nền tảng tài chính phi tập trung ( defi ), đã bị vi phạm an ninh dẫn đến thiệt hại 2,4 triệu USD.
Vụ trộm bắt nguồn từ một sự xâm phạm trong cơ sở hạ tầng khóa riêng của họ, nhấn mạnh những lo lắng ngày càng tăng về an ninh trong hệ sinh thái defi toàn cầu.
Vụ vi phạm gây ra khoản lỗ 2,4 triệu USD, nhắm vào chuỗi Arbitrum trên Mozaic, một giải pháp mở rộng quy mô lớp 2 cho Ethereum ( ETH ) được thiết kế để nâng cao khả năng mở rộng và hiệu quả.
Theo một báo cáo toàn diện từ CertiK, vi phạm bắt nguồn từ sự xâm phạm có chủ đích của khóa riêng, một yếu tố bảo mật quan trọng trong hệ thống blockchain.
Khai thác lỗ hổng này, kẻ tấn công đã thực hiện các giao dịch bất hợp pháp thông qua hợp đồng “bridgeViaLifi”, thường bị giới hạn ở ví của nhà phát triển.
Khi phân tích dữ liệu blockchain, người ta phát hiện ra rằng một tài khoản có hậu tố “50eb” đã khởi xướng hoạt động độc hại, dẫn đến 27 lần chuyển mã thông báo, mỗi lần liên quan đến số tiền ổn định đáng kể.
Điều đáng chú ý là một phần đáng chú ý trong số tiền này đã được truy trở lại tài khoản ban đầu, dẫn đến khoản lỗ lũy kế vượt quá 2 triệu USD. Sự kiện này đóng vai trò như một lời nhắc nhở rõ ràng về sự tháo vát và kiên trì của những kẻ tấn công tập trung vào lĩnh vực defi.
Sau cuộc tấn công, Mozaic Finance đã đưa ra một tuyên bố , thừa nhận hành vi vi phạm và nêu chi tiết các hành động ngay lập tức của họ.
Họ tiết lộ rằng tất cả số tiền bị đánh cắp đã được chuyển đến MEXC, một sàn giao dịch tiền điện tử tập trung, mang đến một tia hy vọng về việc phục hồi tài sản.
Với sự tin tưởng vào quy trình pháp lý và cơ chế của các sàn giao dịch tập trung để xử lý những sự cố như vậy, họ đã gợi ý về một con đường tiềm năng để lấy lại số tiền bị đánh cắp.
Lập trường chủ động của Mozaic Finance, cùng với sự hợp tác với các chuyên gia bảo mật và cơ quan thực thi pháp luật, đặt tiền lệ cho các nền tảng defi trong việc giải quyết các vi phạm an ninh.
Điều này nhấn mạnh sự cần thiết của hành động kịp thời và minh bạch trong việc giảm thiểu hậu quả của các cuộc tấn công như vậy đối với người dùng và các bên liên quan.
Trộm cắp tiền điện tử, lỗ hổng khóa riêng
Các sự cố an ninh mạng gần đây trong không gian defi nhấn mạnh tầm quan trọng đặc biệt của việc bảo vệ khóa riêng tư để ngăn chặn truy cập trái phép và bòn rút tiền.
Tội phạm mạng tiếp tục nhắm mục tiêu vào các nền tảng defi, khai thác lỗ hổng để xâm phạm các giao thức bảo mật và thực hiện các cuộc tấn công tinh vi.
Việc xâm phạm khóa riêng tư cũng nổi lên như một mối đe dọa đáng kể, khi những kẻ tấn công tận dụng nhiều chiến thuật khác nhau để giành quyền truy cập vào mật mã của người dùng và sau đó rút tiền từ các nền tảng như PlayDapp và Unizen.
Một vụ vi phạm PlayDapp gần đây đã lên tới hơn 290 triệu USD và đánh dấu một trong những vụ hack lớn nhất trong lịch sử tiền điện tử. Cuộc tấn công liên quan đến việc bổ sung trái phép vào địa chỉ khai thác mã thông báo PLA, dẫn đến tổn thất đáng kể.
Bất chấp nỗ lực đàm phán với hacker và tạm dừng hợp đồng thông minh, kẻ tấn công vẫn tiếp tục khai thác các lỗ hổng, đúc thêm token và rửa tiền thông qua các sàn giao dịch như Paribu và HTX.
Phản hồi của PlayDapp bao gồm đề xuất kế hoạch di chuyển để giới thiệu mã thông báo ‘PDA’ mới với các tính năng bảo mật được cải thiện như triển khai đa chữ ký.
Vào ngày 11 tháng 3, Unizen – một giao thức defi khác – cũng bị hack dẫn đến thiệt hại khoảng 2 triệu USD. Vụ vi phạm này đã bộc lộ “lỗ hổng cuộc gọi bên ngoài” nghiêm trọng trong một trong các hợp đồng thông minh của Unizen, cho phép truy cập trái phép để đánh cắp tiền.
Để giải quyết hậu quả, Giám đốc điều hành Unizen Sean Noga đã cam kết quỹ cá nhân sẽ bù đắp 99% tổn thất cho những người dùng bị ảnh hưởng, thể hiện cam kết bồi thường và cải thiện bảo mật nền tảng.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News