ParaSwap , một công ty tổng hợp tài chính phi tập trung, đã bắt đầu trả lại tiền điện tử cho người dùng sau khi sửa một lỗ hổng nghiêm trọng trong hợp đồng thông minh Augustus v6 được xác định vào tuần trước.
Lỗi hợp đồng thông minh xuất hiện ngay sau khi hợp đồng được giới thiệu vào ngày 18 tháng 3, nhằm mục đích cải thiện hiệu quả hoán đổi và giảm phí gas. Tuy nhiên, hợp đồng có một lỗ hổng nghiêm trọng, cho phép tin tặc rút tiền khi được phê duyệt.
Nhóm ParaSwap đã báo cáo trên X vào ngày 24 tháng 3 rằng tất cả tài sản bị tin tặc mũ trắng thu hồi đã được trả lại và quyền đối với AugustusV6 đã bị thu hồi.
Nhóm nghiên cứu lưu ý thêm rằng 213 địa chỉ vẫn chưa thu hồi các khoản trợ cấp đối với hợp đồng bị xâm phạm.
Việc thu hồi hợp đồng thông minh thường liên quan đến việc ngừng hoặc vô hiệu hóa các hoạt động blockchain của nó, điều này cản trở đáng kể khả năng lấy lại ví và mã thông báo của người dùng.
Lỗ hổng này được phát hiện lần đầu tiên vào ngày 20 tháng 3, nền tảng này phản hồi bằng cách tạm dừng giao diện lập trình ứng dụng (API) và đảm bảo các khoản tiền gặp rủi ro thông qua một vụ hack mũ trắng. Sự tham gia của tin tặc mũ trắng đã giúp ngăn chặn tổn thất tài sản lớn.
ParaSwap kể từ đó đã chủ động giải quyết hậu quả của vụ vi phạm an ninh, gửi báo cáo chi tiết cho các cơ quan hữu quan để tạo điều kiện thuận lợi cho việc điều tra số tiền bị đánh cắp.
“Tích cực tham gia vào việc xác định địa chỉ của hacker và theo dõi chuyển động của tiền,” ParaSwap cho biết với sự hợp tác chặt chẽ với các công ty phân tích và bảo mật chuỗi khối Chainalysis và TRM Labs.
Nhóm cũng cho biết họ đã bắt đầu nói chuyện với các tin tặc thông qua các tin nhắn trên chuỗi và kêu gọi chúng trả lại số tiền của người dùng bị đánh cắp.
Nếu không có phản hồi trước ngày 27 tháng 3, ParaSwap có kế hoạch theo đuổi việc phục hồi thông qua các biện pháp pháp lý.
Vào thời điểm đó, tổn thất được cho là không đáng kể, với dữ liệu sơ bộ cho thấy tin tặc chỉ bỏ túi 24.000 USD trước khi lỗ hổng được xác định.
Tính bảo mật của nền tảng blockchain và DeFi vẫn còn khó khăn, như đã thấy qua các vi phạm trước đây bên ngoài ParaSwap.
Vào ngày 29 tháng 2, chuỗi khối lớp 1 của Shido đã bị vi phạm bảo mật, khiến giá trị mã thông báo của nó giảm mạnh hơn 90% trong vòng 30 phút. Việc khai thác được PeckShield báo cáo trên X đã dẫn đến việc đánh cắp hơn 4,3 tỷ mã thông báo Shido, gần một nửa nguồn cung lưu hành của nó.
Một lỗ hổng bảo mật quan trọng khác đã bị khai thác trước đó vào ngày 8 tháng 12, nhắm mục tiêu vào token TIME và dẫn đến khoản lỗ 188 nghìn đô la. Nó liên quan đến việc thao túng hợp đồng Forwarder để thực hiện các giao dịch từ địa chỉ người gửi giả mạo, đánh lừa quá trình xác minh của hợp đồng.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News
