Cointime

Cointime

Download App
iOS & Android

197 triệu đô la bị đánh cắp: Giải thích về cuộc tấn công cho vay chớp nhoáng của Euler Finance [CẬP NHẬT 17/3/23]

Validated Project

Cập nhật mới, 17/3/23: Có thể có sự tham gia của Bắc Triều Tiên

Sáng sớm ngày 17 tháng 3 năm 2023, 100 ETH bị đánh cắp trong vụ hack Euler Finance đã chuyển đến một địa chỉ mà trước đó đã nhận được số tiền bị đánh cắp trong vụ hack Axie Infinity Ronin Bridge, được thực hiện bởi tổ chức hack Lazarus Group của Bắc Triều Tiên.

Điều này cũng có thể có nghĩa là vụ hack Euler Finance cũng được thực hiện bởi Lazarus Group. Tuy nhiên, chúng tôi chưa thể biết chắc chắn — có thể việc chuyển tiền này là một nỗ lực đánh lạc hướng của một nhóm tin tặc khác. Chúng tôi sẽ tiếp tục theo dõi tình hình và cung cấp thông tin cập nhật nhất có thể.

Bài gốc: Phân tích cuộc tấn công flash loan của Euler Finance

Vào ngày 13 tháng 3 năm 2023, Euler Finance, một giao thức vay và cho vay không được phép trên Ethereum, là nạn nhân của một cuộc tấn công cho vay chớp nhoáng. Euler Finance không phải là nạn nhân đầu tiên của vụ hack DeFi trong năm nay — dForce và Platypus cũng bị nhắm mục tiêu tương tự vào tháng 2 — nhưng thật không may, đây là nạn nhân lớn nhất. Với khoản lỗ khổng lồ gần 200 triệu đô la, tin tặc đã đánh cắp tiền bằng USDC, gói Bitcoin (wBTC), đặt cọc Ether (stETH) và DAI, một stablecoin thuật toán được duy trì bởi MakerDAO. Một vụ hack ở mức độ này minh họa cho cả các mối đe dọa đang diễn ra đối với các giao thức DeFi được sử dụng rộng rãi và các hành vi lạm dụng hack tiềm ẩn do các khoản vay chớp nhoáng gây ra.

Trong blog này, chúng ta sẽ khám phá cách hoạt động của các khoản vay nhanh, cách tin tặc đánh cắp tiền từ Euler Finance và cách giảm thiểu tác động của các cuộc tấn công khoản vay nhanh trong tương lai.

Khoản vay chớp nhoáng là gì?

Trước khi phân tích chi tiết vụ hack Euler, điều quan trọng là phải hiểu cách hoạt động của các khoản vay chớp nhoáng. Các khoản vay chớp nhoáng được thực hiện bởi các hợp đồng thông minh và cho phép người tham gia vay tiền nhanh chóng mà không cần tài sản thế chấp. Tuy nhiên, các khoản vay này phải được hoàn trả đầy đủ trong cùng một giao dịch, nếu không, toàn bộ giao dịch, bao gồm cả khoản vay, sẽ bị đảo ngược. Các khoản vay chớp nhoáng rất hấp dẫn đối với các nhà giao dịch DeFi đang tìm cách tối đa hóa cơ hội kinh doanh chênh lệch giá. Chúng cũng thường được sử dụng để hoán đổi tài sản thế chấp và tự thanh lý.

Mặc dù có một số cách sử dụng hợp pháp các khoản vay flash, nhưng tin tặc cũng có thể sử dụng chúng để thao túng định giá của các giao thức DeFi. Họ làm điều này bằng cách lợi dụng việc thiếu tài sản thế chấp để vay số tiền khổng lồ, sau đó họ có thể sử dụng số tiền này để thao túng giá token, thường bằng cách mua hoặc bán khống số lượng lớn token với mức cung thấp.

Cuộc tấn công flash loan Euler Finance xảy ra như thế nào

Khi người dùng vay và cho vay bằng nền tảng Tài chính Euler, họ chủ yếu giao dịch với hai loại token: eTokens (đại diện cho tài sản thế chấp) và dTokens (đại diện cho khoản nợ). Euler phát hành eTokens dựa trên các loại tiền được gửi bởi người dùng; dTokens tự động kích hoạt thanh lý trên chuỗi khi nền tảng nắm giữ nhiều dTokens hơn eTokens.

Vụ hack có thể xảy ra do vấn đề thanh khoản trong chức năng DonateToReserve của eToken. Chức năng này đã ghi eToken đúng cách, chứ không phải dToken, dẫn đến việc chuyển đổi tài sản mượn thành tài sản thế chấp không chính xác. Tin tặc của Euler đã lợi dụng những điểm không nhất quán này để tạo ấn tượng sai lầm rằng nền tảng có lượng eToken ký gửi thấp và nợ giả do thực tế là các dToken không bị đốt cháy.

Hiện tại chúng tôi có lý do để tin rằng có hai thực thể chính trên chuỗi liên quan đến vụ hack: bot MEV chạy trước (sử dụng ví 0x5F259D0b76665c337c6104145894F4D1D2758B8c) và ví cá nhân chính của tin tặc (sử dụng ví 0xb66cd966670d962C227B3EABA30a872DbFb995db). Tin tặc đã mã hóa cứng hợp đồng cho vay của họ để ví cá nhân nhận được hầu hết số tiền, bất kể thực thể nào thực hiện giao dịch nào.

Tin tặc đã nhận được tài trợ ban đầu từ bộ trộn bị xử phạt Tornado Cash để trả phí gas và để tạo các hợp đồng được sử dụng trong quá trình khai thác, sau đó bắt đầu một khoản vay nhanh để vay khoảng 30 triệu đô la DAI từ giao thức DeFi Aave. Sau đó, tin tặc đã gửi 20 triệu đô la DAI đó vào nền tảng của Euler, nhận được số tiền tương tự dưới dạng token eDAI. Bằng cách tận dụng khả năng vay của Euler, tin tặc đã có thể vay gấp 10 lần số tiền gửi ban đầu. Sau đó, tin tặc đã sử dụng 10 triệu đô la DAI còn lại từ khoản vay ban đầu để trả một phần khoản nợ đã mua (dDAI) và sử dụng lại chức năng đúc tiền để vay lại cho đến khi khoản vay chớp nhoáng được đóng lại. Sau khi vụ hack hoàn tất, tin tặc đã chuyển một số tiền trở lại Tornado Cash. Các nhà điều tra sẽ cần sử dụng các kỹ thuật điều tra tiên tiến như những đề xuất của Chainalysis để theo đuổi các khoản tiền hơn nữa.

Chúng ta có thể thấy một số bước trong biểu đồ Chainalysis Storyline bên dưới:

Nhìn chung, Euler đã mất khoảng 197 triệu đô la tiền điện tử, trải rộng trên DAI, wBTC, stETH và USDC. Ngoài ra, token gốc của Euler, EUL, đã giảm hơn 45%.

Giảm rủi ro hack

Mặc dù có thể khó xác định các lỗ hổng nền tảng DeFi, nhưng có thể có một số phương pháp để giảm thiểu rủi ro của các cuộc tấn công cho vay nhanh để bảo vệ những người tham gia tiền điện tử khỏi các sự kiện thảm khốc tương tự. Chẳng hạn, bộ ngắt mạch có thể được sử dụng để tạm thời dừng các giao thức khi có biến động giá hoặc dòng tiền chảy ra lớn bất thường để có thể ngăn chặn sớm các vụ hack. Chúng tôi sẽ tiếp tục theo dõi tình hình hack Euler và cung cấp thông tin cập nhật nhất có thể.

Tài liệu này chỉ dành cho mục đích thông tin và không nhằm cung cấp lời khuyên về pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến ​​cố vấn của riêng họ trước khi đưa ra các loại quyết định. Chainalysis không chịu trách nhiệm hoặc trách nhiệm pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành động hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.

Chainalysis không bảo đảm hoặc đảm bảo tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sự không chính xác khác của bất kỳ phần nào của tài liệu đó.

DeFi
Các bình luận

Tất cả bình luận

Recommended for you

  • Giám đốc pháp lý của Robinhood Dan Gallagher cho biết ông sẽ không giữ chức Chủ tịch SEC

    Theo tin tức thị trường, Giám đốc pháp lý của Robinhood, Dan Gallagher cho biết ông sẽ không giữ chức chủ tịch Ủy ban Chứng khoán và Giao dịch Hoa Kỳ.

  • Xu hướng chính trị của tiền điện tử: Cuộc bầu cử của Trump khơi dậy đợt tăng giá mới nhất

    Tiền điện tử đã trở lại trong mùa nghỉ lễ này khi Bitcoin nhắm mục tiêu 100.000 USD và “Sóc đậu phộng” gây chú ý với mức tăng 3.000%. Các thành viên trong gia đình sẽ tranh luận về Bitcoin, memecoin và “cái thứ chết tiệt trên Twitter của Elon” và bạn, “chuyên gia tiền điện tử” được chỉ định, cần điều gì đó để nói để thu phục người bình thường. Tiền điện tử là sự điên rồ của chủ nghĩa tự do. Trump xem xét 'Sa hoàng tiền điện tử', Bitcoin đạt mức cao mới, ra mắt quyền chọn IBIT của Blackstone, khả năng lập trình của Bitcoin hồi sinh, Trump xem xét luật sư về tiền điện tử cho Chủ tịch SEC, chọn Howard Lutnick làm Bộ trưởng Thương mại. Cuộc bầu cử và chiến thắng của Trump đã châm ngòi cho đợt tăng giá tiền điện tử mới nhất, mà nhiều người hiện nay liên tưởng đến những trò tai quái quá mức tồi tệ nhất của MAGA và Elon. Sẽ chẳng ích gì cho trường hợp của bạn nếu những người thân thiên tả của bạn thấy chính quyền mới của Đảng Cộng hòa hỗ trợ tiền điện tử một cách mạnh mẽ như vậy. Nếu anh họ của bạn không mua Bitcoin vì nó liên quan đến màu đỏ và cam, hãy nhìn vào sự thật.

  • Cosine: Sau khi người dùng sử dụng GPT để viết bot bằng mã có cửa sau, khóa riêng sẽ được gửi đến một trang web lừa đảo.

    Theo một bài báo được đăng bởi Slow Mist Cosine trên trang . Cosine nhắc nhở chúng ta rằng khi sử dụng các LLM như GPT/Claude, chúng ta phải chú ý đến sự lừa dối phổ biến trong các LLM này. Chúng tôi đã đề cập đến các cuộc tấn công đầu độc AI trước đây và bây giờ đây là một trường hợp tấn công thực sự nhằm vào ngành Tiền điện tử.

  • Hiệp hội Blockchain Hoa Kỳ gửi khuyến nghị quy định về tiền điện tử cho chính quyền Trump

    Hiệp hội Blockchain Hoa Kỳ đã công bố về các Ưu tiên. Các nội dung chính bao gồm: thiết lập khung pháp lý về tiền điện tử, chấm dứt việc loại bỏ ngân hàng của các công ty công nghệ tiền điện tử và chuỗi khối, bổ nhiệm chủ tịch SEC mới và hủy bỏ SAB121, bổ nhiệm lãnh đạo mới cho Bộ Tài chính và IRS, đồng thời thành lập ủy ban cố vấn về tiền điện tử, làm việc với Quốc hội và cơ quan quản lý liên bang.

  • Tòa án Tối cao Hoa Kỳ bác bỏ nỗ lực của Facebook nhằm tránh vụ kiện gian lận chứng khoán của cổ đông

    Tòa án Tối cao Hoa Kỳ bác bỏ vụ kiện trong đó Facebook thuộc sở hữu của META đã cố gắng tránh vụ kiện gian lận chứng khoán của cổ đông.

  • Tỷ lệ lạm phát một năm cuối cùng ở Hoa Kỳ vào tháng 11 dự kiến ​​​​là 2,6%, so với mức dự kiến ​​2,7% và giá trị trước đó là 2,60%.

    Tỷ lệ lạm phát một năm cuối cùng ở Hoa Kỳ vào tháng 11 dự kiến ​​là 2,6%, so với mức dự kiến ​​2,7% và giá trị trước đó là 2,60%. Giá trị kỳ vọng cuối cùng của tỷ lệ lạm phát 5 đến 10 năm của Mỹ trong tháng 11 là 3,2%, so với mức 3,1% dự kiến ​​và giá trị trước đó là 3,10%.

  • Nền tảng thị trường dự đoán Polymarket đình chỉ quyền truy cập của người dùng Pháp do điều tra theo quy định

    Nền tảng thị trường dự đoán phi tập trung Polymarket đã thông báo rằng họ đang tạm dừng quyền truy cập vào nền tảng của mình đối với người dùng Pháp. Động thái này diễn ra vài tuần sau khi Cơ quan cờ bạc quốc gia Pháp (ANJ) tiến hành một cuộc điều tra về việc tuân thủ cờ bạc trên nền tảng này. Được biết, cuộc điều tra bắt nguồn từ một thương nhân người Pháp đã đặt cược lớn vào chiến thắng của Trump trong cuộc bầu cử tổng thống Mỹ năm 2024 trên nền tảng này. Mặc dù Polymarket đã thực hiện lệnh cấm IP, trang tin tức về tiền điện tử của Pháp The Big Whale đã báo cáo rằng người dùng vẫn có thể truy cập nền tảng này thông qua VPN. Tính đến thời điểm báo chí, Điều khoản dịch vụ của Polymarket chưa cập nhật các hạn chế có liên quan.

  • Vương quốc Anh công bố các quy định về tiền điện tử và stablecoin vào đầu năm 2025

    Chính phủ Lao động Vương quốc Anh sẽ công bố khung pháp lý toàn diện về tiền điện tử vào đầu năm 2025, nhằm đơn giản hóa quy định và giải quyết các lĩnh vực chính như stablecoin và đặt cược. Vương quốc Anh có kế hoạch công bố khuôn khổ tiền điện tử của mình vào năm tới, phản ánh cuộc đua toàn cầu nhằm điều chỉnh ngành, với các khu vực pháp lý khác như Liên minh Châu Âu đã thúc đẩy các chiến lược để thu hút sự đổi mới và cơ hội kinh tế. Chính phủ Anh tiết lộ kế hoạch giới thiệu một khung pháp lý thống nhất cho ngành công nghiệp tiền điện tử vào đầu năm 2025 tại Hội nghị thượng đỉnh về mã thông báo toàn cầu ở Thành phố Luân Đôn. Là một phần của khuôn khổ mới, stablecoin sẽ không còn chịu sự quản lý của các quy tắc dịch vụ thanh toán hiện có của Vương quốc Anh. Chính phủ tin rằng những quy định này không phù hợp với các trường hợp sử dụng hiện tại. Sự thay đổi này nhằm mục đích điều chỉnh cách tiếp cận của Vương quốc Anh với bản chất đang phát triển của stablecoin, thường được gắn với các tài sản như đồng đô la Mỹ để ổn định.

  • Amazon sẽ đầu tư thêm 4 tỷ USD vào "đối thủ OpenAI" Anthropic

    Amazon và Anthropic tăng cường hợp tác và sẽ đầu tư thêm 4 tỷ USD vào nhau. Vào tháng 9 năm nay, công ty khởi nghiệp trí tuệ nhân tạo Anthropic đang tìm kiếm một vòng tài trợ mới với mức định giá lên tới 40 tỷ USD. Anthropic là một công ty được thành lập vào năm 2021 bởi các cựu giám đốc điều hành OpenAI và tập trung vào việc tạo ra các hệ thống trí tuệ nhân tạo có thể giải thích được, an toàn và có thể kiểm soát được. Mô hình AI hàng đầu của công ty, Claude, chạy trên “AI theo hiến pháp”, một mô hình AI sử dụng các nguyên tắc được xác định trước để hướng dẫn đầu ra của nó và tránh phản ứng sai lầm hoặc phân biệt đối xử.

  • PANews ·

    Trạng thái hiện tại của các ứng dụng DeFi trên Bitcoin: chuỗi chéo, Lớp 2, giao thức mới và giải pháp gốc

    Là tài sản tiền điện tử lớn nhất theo giá trị thị trường, Bitcoin chưa bao giờ ngừng phát triển các ứng dụng trên mạng Bitcoin. Sau đây là tóm tắt bốn loại kế hoạch phát triển ứng dụng DeFi trên Bitcoin.

    Trạng thái hiện tại của các ứng dụng DeFi trên Bitcoin: chuỗi chéo, Lớp 2, giao thức mới và giải pháp gốc

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty