Cointime

Cointime

Download App
iOS & Android

197 triệu đô la bị đánh cắp: Giải thích về cuộc tấn công cho vay chớp nhoáng của Euler Finance [CẬP NHẬT 17/3/23]

Validated Project

Cập nhật mới, 17/3/23: Có thể có sự tham gia của Bắc Triều Tiên

Sáng sớm ngày 17 tháng 3 năm 2023, 100 ETH bị đánh cắp trong vụ hack Euler Finance đã chuyển đến một địa chỉ mà trước đó đã nhận được số tiền bị đánh cắp trong vụ hack Axie Infinity Ronin Bridge, được thực hiện bởi tổ chức hack Lazarus Group của Bắc Triều Tiên.

Điều này cũng có thể có nghĩa là vụ hack Euler Finance cũng được thực hiện bởi Lazarus Group. Tuy nhiên, chúng tôi chưa thể biết chắc chắn — có thể việc chuyển tiền này là một nỗ lực đánh lạc hướng của một nhóm tin tặc khác. Chúng tôi sẽ tiếp tục theo dõi tình hình và cung cấp thông tin cập nhật nhất có thể.

Bài gốc: Phân tích cuộc tấn công flash loan của Euler Finance

Vào ngày 13 tháng 3 năm 2023, Euler Finance, một giao thức vay và cho vay không được phép trên Ethereum, là nạn nhân của một cuộc tấn công cho vay chớp nhoáng. Euler Finance không phải là nạn nhân đầu tiên của vụ hack DeFi trong năm nay — dForce và Platypus cũng bị nhắm mục tiêu tương tự vào tháng 2 — nhưng thật không may, đây là nạn nhân lớn nhất. Với khoản lỗ khổng lồ gần 200 triệu đô la, tin tặc đã đánh cắp tiền bằng USDC, gói Bitcoin (wBTC), đặt cọc Ether (stETH) và DAI, một stablecoin thuật toán được duy trì bởi MakerDAO. Một vụ hack ở mức độ này minh họa cho cả các mối đe dọa đang diễn ra đối với các giao thức DeFi được sử dụng rộng rãi và các hành vi lạm dụng hack tiềm ẩn do các khoản vay chớp nhoáng gây ra.

Trong blog này, chúng ta sẽ khám phá cách hoạt động của các khoản vay nhanh, cách tin tặc đánh cắp tiền từ Euler Finance và cách giảm thiểu tác động của các cuộc tấn công khoản vay nhanh trong tương lai.

Khoản vay chớp nhoáng là gì?

Trước khi phân tích chi tiết vụ hack Euler, điều quan trọng là phải hiểu cách hoạt động của các khoản vay chớp nhoáng. Các khoản vay chớp nhoáng được thực hiện bởi các hợp đồng thông minh và cho phép người tham gia vay tiền nhanh chóng mà không cần tài sản thế chấp. Tuy nhiên, các khoản vay này phải được hoàn trả đầy đủ trong cùng một giao dịch, nếu không, toàn bộ giao dịch, bao gồm cả khoản vay, sẽ bị đảo ngược. Các khoản vay chớp nhoáng rất hấp dẫn đối với các nhà giao dịch DeFi đang tìm cách tối đa hóa cơ hội kinh doanh chênh lệch giá. Chúng cũng thường được sử dụng để hoán đổi tài sản thế chấp và tự thanh lý.

Mặc dù có một số cách sử dụng hợp pháp các khoản vay flash, nhưng tin tặc cũng có thể sử dụng chúng để thao túng định giá của các giao thức DeFi. Họ làm điều này bằng cách lợi dụng việc thiếu tài sản thế chấp để vay số tiền khổng lồ, sau đó họ có thể sử dụng số tiền này để thao túng giá token, thường bằng cách mua hoặc bán khống số lượng lớn token với mức cung thấp.

Cuộc tấn công flash loan Euler Finance xảy ra như thế nào

Khi người dùng vay và cho vay bằng nền tảng Tài chính Euler, họ chủ yếu giao dịch với hai loại token: eTokens (đại diện cho tài sản thế chấp) và dTokens (đại diện cho khoản nợ). Euler phát hành eTokens dựa trên các loại tiền được gửi bởi người dùng; dTokens tự động kích hoạt thanh lý trên chuỗi khi nền tảng nắm giữ nhiều dTokens hơn eTokens.

Vụ hack có thể xảy ra do vấn đề thanh khoản trong chức năng DonateToReserve của eToken. Chức năng này đã ghi eToken đúng cách, chứ không phải dToken, dẫn đến việc chuyển đổi tài sản mượn thành tài sản thế chấp không chính xác. Tin tặc của Euler đã lợi dụng những điểm không nhất quán này để tạo ấn tượng sai lầm rằng nền tảng có lượng eToken ký gửi thấp và nợ giả do thực tế là các dToken không bị đốt cháy.

Hiện tại chúng tôi có lý do để tin rằng có hai thực thể chính trên chuỗi liên quan đến vụ hack: bot MEV chạy trước (sử dụng ví 0x5F259D0b76665c337c6104145894F4D1D2758B8c) và ví cá nhân chính của tin tặc (sử dụng ví 0xb66cd966670d962C227B3EABA30a872DbFb995db). Tin tặc đã mã hóa cứng hợp đồng cho vay của họ để ví cá nhân nhận được hầu hết số tiền, bất kể thực thể nào thực hiện giao dịch nào.

Tin tặc đã nhận được tài trợ ban đầu từ bộ trộn bị xử phạt Tornado Cash để trả phí gas và để tạo các hợp đồng được sử dụng trong quá trình khai thác, sau đó bắt đầu một khoản vay nhanh để vay khoảng 30 triệu đô la DAI từ giao thức DeFi Aave. Sau đó, tin tặc đã gửi 20 triệu đô la DAI đó vào nền tảng của Euler, nhận được số tiền tương tự dưới dạng token eDAI. Bằng cách tận dụng khả năng vay của Euler, tin tặc đã có thể vay gấp 10 lần số tiền gửi ban đầu. Sau đó, tin tặc đã sử dụng 10 triệu đô la DAI còn lại từ khoản vay ban đầu để trả một phần khoản nợ đã mua (dDAI) và sử dụng lại chức năng đúc tiền để vay lại cho đến khi khoản vay chớp nhoáng được đóng lại. Sau khi vụ hack hoàn tất, tin tặc đã chuyển một số tiền trở lại Tornado Cash. Các nhà điều tra sẽ cần sử dụng các kỹ thuật điều tra tiên tiến như những đề xuất của Chainalysis để theo đuổi các khoản tiền hơn nữa.

Chúng ta có thể thấy một số bước trong biểu đồ Chainalysis Storyline bên dưới:

Nhìn chung, Euler đã mất khoảng 197 triệu đô la tiền điện tử, trải rộng trên DAI, wBTC, stETH và USDC. Ngoài ra, token gốc của Euler, EUL, đã giảm hơn 45%.

Giảm rủi ro hack

Mặc dù có thể khó xác định các lỗ hổng nền tảng DeFi, nhưng có thể có một số phương pháp để giảm thiểu rủi ro của các cuộc tấn công cho vay nhanh để bảo vệ những người tham gia tiền điện tử khỏi các sự kiện thảm khốc tương tự. Chẳng hạn, bộ ngắt mạch có thể được sử dụng để tạm thời dừng các giao thức khi có biến động giá hoặc dòng tiền chảy ra lớn bất thường để có thể ngăn chặn sớm các vụ hack. Chúng tôi sẽ tiếp tục theo dõi tình hình hack Euler và cung cấp thông tin cập nhật nhất có thể.

Tài liệu này chỉ dành cho mục đích thông tin và không nhằm cung cấp lời khuyên về pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến ​​cố vấn của riêng họ trước khi đưa ra các loại quyết định. Chainalysis không chịu trách nhiệm hoặc trách nhiệm pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành động hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.

Chainalysis không bảo đảm hoặc đảm bảo tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sự không chính xác khác của bất kỳ phần nào của tài liệu đó.

DeFi
Các bình luận

Tất cả bình luận

Recommended for you

  • Quỹ ETF Ethereum giao ngay tại Mỹ đã ghi nhận dòng vốn ròng chảy ra ngoài là 19,4 triệu đô la vào ngày hôm qua.

    Theo dõi số liệu từ TraderT, quỹ ETF Ethereum giao ngay tại Mỹ đã ghi nhận dòng vốn ròng chảy ra ngoài là 19,4 triệu đô la vào ngày hôm qua.

  • Công ty China Asset Management (Hồng Kông) ra mắt quỹ thị trường tiền tệ mã hóa lớn nhất châu Á trên nền tảng Solana.

    Vào ngày 12 tháng 12, Katie He, Trưởng bộ phận Sản phẩm và Chiến lược tại ChinaAMC HK, đã thông báo tại hội nghị Solana Breakpoint rằng họ sẽ ra mắt quỹ thị trường tiền tệ được mã hóa đầu tiên và lớn nhất châu Á, được định giá bằng Đô la Hồng Kông (HKD), Đô la Mỹ (USD) và Nhân dân tệ Trung Quốc (RMB). Điều này mã hóa các công cụ thị trường tiền tệ truyền thống, cung cấp cho các nhà đầu tư quyền truy cập an toàn, trên chuỗi khối vào lợi nhuận ổn định, tính minh bạch hoàn toàn và thanh toán theo thời gian thực. Sau nhiều tháng hợp tác với các cơ quan quản lý và các đối tác như OSL, sự đổi mới này sẽ mở rộng từ Hồng Kông sang khu vực rộng lớn hơn và được triển khai trực tiếp trên blockchain Solana.

  • Ngân hàng Hoàng gia Canada đã mua 77.700 cổ phiếu Bitcoin của Mỹ.

    Theo các nguồn tin thị trường, Ngân hàng Hoàng gia Canada, với giá trị ước tính 1 nghìn tỷ đô la, đã mua 77.700 cổ phiếu của American Bitcoin (ABTC), trị giá khoảng 150.000 đô la. Công ty khai thác Bitcoin này được hậu thuẫn bởi Eric Trump, một thành viên của gia đình Trump.

  • Ngân hàng Nhân dân Trung Quốc: Tiếp tục thực hiện chính sách tiền tệ nới lỏng vừa phải và thúc đẩy quốc tế hóa đồng Nhân dân tệ.

    Ban Chấp hành Đảng ủy Ngân hàng Nhân dân Trung Quốc đã tổ chức một cuộc họp. Điểm ba của biên bản cuộc họp nêu rõ: Tiếp tục thực hiện chính sách tiền tệ nới lỏng vừa phải và đẩy nhanh cải cách cơ cấu phía cung tài chính. Thúc đẩy tăng trưởng kinh tế ổn định và sự phục hồi giá cả hợp lý sẽ là những cân nhắc quan trọng trong chính sách tiền tệ. Các công cụ chính sách tiền tệ khác nhau, như giảm tỷ lệ dự trữ bắt buộc và giảm lãi suất, sẽ được sử dụng linh hoạt và hiệu quả. Cường độ, tốc độ và thời điểm thực hiện chính sách sẽ được quản lý cẩn thận để duy trì thanh khoản dồi dào, thúc đẩy chi phí tài chính xã hội tổng thể thấp và tăng cường hỗ trợ tài chính cho nền kinh tế thực. Cơ chế truyền dẫn chính sách tiền tệ sẽ được làm trơn tru, việc sử dụng các công cụ chính sách tiền tệ cơ cấu sẽ được tối ưu hóa và sự phối hợp với chính sách tài khóa sẽ được tăng cường để khuyến khích và hướng dẫn các tổ chức tài chính tăng cường hỗ trợ cho các lĩnh vực trọng điểm như mở rộng nhu cầu nội địa, đổi mới công nghệ và các doanh nghiệp vừa và nhỏ (SMEs). Sự ổn định cơ bản của tỷ giá hối đoái Nhân dân tệ ở mức hợp lý và cân bằng sẽ được duy trì. Điểm năm của biên bản cuộc họp nêu rõ: Thúc đẩy ổn định việc mở cửa tài chính ở cấp cao và bảo vệ an ninh tài chính quốc gia của Trung Quốc. Triển khai các sáng kiến ​​quản trị toàn cầu và tích cực tham gia, thúc đẩy cải cách và hoàn thiện quản trị tài chính toàn cầu. Tiến hành ngoại giao tài chính thực dụng và hợp tác tiền tệ và tài chính đa phương và song phương. Thúc đẩy quốc tế hóa đồng Nhân dân tệ. Tiếp tục xây dựng và phát triển hệ thống thanh toán xuyên biên giới Nhân dân tệ đa kênh, phạm vi phủ sóng rộng. Phát triển ổn định đồng Nhân dân tệ kỹ thuật số.

  • Ngân hàng Trung ương Nhật Bản được cho là đang lên kế hoạch tăng lãi suất thêm nữa; một số quan chức tin rằng lãi suất trung lập sẽ cao hơn 1%.

    Theo các nguồn tin thân cận, các quan chức Ngân hàng Nhật Bản (BOJ) tin rằng lãi suất có khả năng tăng lên trên 0,75% trước khi kết thúc chu kỳ tăng lãi suất hiện tại, cho thấy có thể sẽ có thêm các đợt tăng lãi suất sau đợt tăng vào tuần tới. Các nguồn tin này cho biết các quan chức tin rằng ngay cả ở mức 0,75%, BOJ vẫn chưa đạt đến mức lãi suất trung lập. Một số quan chức thậm chí còn cho rằng 1% là dưới mức lãi suất trung lập. Các nguồn tin cho biết ngay cả khi BOJ cập nhật ước tính lãi suất trung lập dựa trên dữ liệu mới nhất, hiện tại họ cũng không kỳ vọng phạm vi này sẽ thu hẹp đáng kể. Ước tính hiện tại của BOJ về phạm vi lãi suất trung lập danh nghĩa là khoảng 1% đến 2,5%. Các nguồn tin cũng cho biết các quan chức BOJ tin rằng giới hạn trên và dưới của phạm vi này có thể chứa sai sót. (Jinshi)

  • Nexus ra mắt "Tuần lễ Quản lý Tài sản Tiên phong Node Light", tạo ra một kênh độc quyền dành cho người dùng node.

    Vào ngày 12 tháng 12, Nexus đã thông báo về sự kiện kéo dài năm ngày sắp tới mang tên "Tuần lễ Quản lý Tài sản Tiên phong Node Light", tập trung vào khái niệm cốt lõi "Đặc quyền Tài chính Định danh Node", cung cấp cho các thành viên tham gia hệ sinh thái cốt lõi một chu kỳ quản lý tài sản độc quyền, tách biệt với phần còn lại của nền tảng. Sự kiện này dành riêng cho người dùng node muốn đăng ký các gói quản lý tài sản độc quyền, đồng thời tạo tiền đề cho sự mong đợi của thị trường đối với việc ra mắt dịch vụ quản lý tài sản toàn nền tảng và NexSwap sau này.

  • Chủ tịch SEC Hoa Kỳ: Các thành viên tham gia DTC có thể chuyển chứng khoán được mã hóa sang ví đã đăng ký của các thành viên khác.

    Paul Atkins, Chủ tịch Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), đã tuyên bố trong một bài báo được đăng tải trên nền tảng X rằng thị trường tài chính Hoa Kỳ sắp chuyển đổi sang công nghệ chuỗi khối (on-chain) và sẽ ưu tiên đổi mới cũng như tích cực áp dụng các công nghệ mới. SEC đã gửi thư cho Tập đoàn Lưu ký và Thanh toán bù trừ Hoa Kỳ (DTC) cho biết sẽ không có hành động nào được thực hiện. Thị trường chuỗi khối sẽ mang lại cho nhà đầu tư khả năng dự đoán, tính minh bạch và hiệu quả cao hơn. Hiện tại, các thành viên DTC có thể trực tiếp chuyển các chứng khoán được mã hóa đến ví đã đăng ký của các thành viên khác, và các giao dịch này sẽ được DTC ghi nhận và theo dõi.

  • Tether dự định huy động tới 20 tỷ đô la thông qua phát hành cổ phiếu.

    Theo Bloomberg, Tether dự định huy động tới 20 tỷ đô la thông qua việc phát hành cổ phiếu và sẽ xem xét việc mã hóa cổ phiếu thành token sau khi hoàn tất giao dịch. Các nguồn tin thân cận tiết lộ rằng các lãnh đạo của Tether đang xem xét nhiều phương án khác nhau, bao gồm mua lại cổ phiếu và lưu trữ cổ phiếu của công ty dưới dạng kỹ thuật số trên blockchain sau khi giao dịch hoàn tất.

  • Ngân hàng Quốc gia Thụy Sĩ đã tăng cổ phần của mình tại Strategy lên 138 triệu đô la.

    Theo các nguồn tin thị trường, Ngân hàng Quốc gia Thụy Sĩ, đơn vị quản lý khối tài sản trị giá 10 nghìn tỷ đô la, đã tăng cổ phần của mình trong công ty kho bạc Bitcoin Strategy (MSTR) lên 138 triệu đô la.

  • OKX: Người dùng nền tảng có thể kiếm được lợi nhuận hàng năm lên đến 4,10% khi nắm giữ USDG.

    Theo thông báo chính thức, từ 00:00 ngày 11 tháng 12 năm 2025 đến 00:00 ngày 11 tháng 1 năm 2026 (UTC+8), người dùng nắm giữ USDG trong tài khoản quỹ, giao dịch và cho vay trên OKX sẽ tự động nhận được lợi nhuận hàng năm lên đến 4,10% do nền tảng OKX cung cấp. Lợi nhuận này có thể được rút hoặc sử dụng bất cứ lúc nào, cho phép người dùng vừa giao dịch vừa quản lý tài chính của mình. Người dùng có thể kiểm tra thu nhập của mình bất cứ lúc nào thông qua ứng dụng OKX (phiên bản 6.136.10 trở lên) - Tài sản - nhấp vào USDG. Nền tảng sẽ tiếp tục mở rộng ứng dụng của USDG trong nhiều kịch bản giao dịch và tài chính hơn. Được biết, USDG được phát hành bởi Paxos Digital Singapore Pte. Ltd. (PDS) và đã được Cơ quan Tiền tệ Singapore (MAS) phê duyệt để cung cấp dịch vụ mã thông báo thanh toán kỹ thuật số với tư cách là tổ chức thanh toán chính. Sự phê duyệt này cho phép PDS phát hành USDG, một stablecoin tuân thủ khung stablecoin sắp tới của MAS.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty