Theo giám sát của PeckShield, những người đóng góp cho cộng đồng đã phát hiện ra rằng kẻ tấn công KyberSwap đã trả lại 361.876 USDC.e trên AVAX.

Kyber Network đăng trên mạng xã hội rằng nhóm KyberSwap đã liên hệ với chủ sở hữu của các robot chạy trước, họ đã rút số tiền trị giá khoảng 5,7 triệu USD từ các nhóm KyberSwap trên Polygon và Avalanche vì lỗ hổng này. Chúng tôi đã thương lượng với chủ sở hữu của bot chạy trước để trả lại 90% số tiền của người dùng mà nó chiếm giữ về địa chỉ 0x8180 để đổi lấy 10% tiền thưởng. Cho đến nay, số tiền trị giá khoảng 4,67 triệu USD đã được trả lại đến địa chỉ của nhà triển khai KyberSwap trên Polygon thông qua các giao dịch này. Sau khi khôi phục tiền của người dùng từ bot chạy trước, chúng tôi sẽ tiếp tục hỗ trợ các cơ quan thực thi pháp luật và an ninh mạng trong việc theo dõi và thu hồi tiền của người dùng từ thủ phạm khai thác.

CertiK đã đăng trên mạng xã hội rằng lỗ hổng bị KyberSwap tấn công tồn tại trong quá trình triển khai chức năng featureSwapStep() của KyberSwap Elastic. Hàm này tính toán số tiền đầu vào/đầu ra trao đổi thực tế sẽ được khấu trừ hoặc thêm vào, phí trao đổi sẽ được tính và sqrtP thu được. Trước tiên, hàm này gọi hàm calcReachAmount(), kết luận rằng giao dịch hoán đổi của kẻ tấn công sẽ không vượt qua dấu tích, nhưng tạo nhầm một mức giá lớn hơn một chút so với targetSqrtP được tính bằng cách gọi "calcFinalprice". Do đó, thanh khoản không được loại bỏ, dẫn đến cuộc tấn công. Kẻ tấn công đã thực hiện các hoạt động tính toán phức tạp trên các nhóm thanh khoản trong phạm vi đánh dấu trống, tận dụng số lượng thanh khoản hoán đổi chéo, làm cạn kiệt nhiều nhóm KyberSwap có tính thanh khoản thấp.

Theo tin tức vào ngày 24 tháng 11, nhóm KyberSwap đã công bố thông tin đàm phán với các tin tặc trên chuỗi, tuyên bố rằng tin tặc có thể để lại 10% số tiền bị đánh cắp như một phần thưởng để trả lại tất cả tiền của người dùng một cách an toàn. KyberSwap tuyên bố rằng họ đã biết phương pháp thực hiện cuộc tấn công của hacker và đã ra hạn cho hacker đến 14:00 ngày 25 tháng 11, giờ Bắc Kinh, để trả lại 90% số tiền bị đánh cắp về địa chỉ bắt đầu bằng 0x8180, nếu không nó sẽ tiếp tục truy lùng thông tin của hacker.

Theo một bài đăng trên mạng xã hội của người sáng lập sàn giao dịch Ambient, Doug Colkitt, KyberSwap đã bị những kẻ tấn công khai thác bằng cách sử dụng “lỗ hổng tiền tệ vô hạn” để đánh cắp 46 triệu đô la tiền điện tử. Những kẻ tấn công cuối cùng đã thành công trong việc đánh cắp tiền thông qua nhiều cuộc tấn công vào từng nhóm riêng lẻ. Colkitt gọi cuộc tấn công là “cuộc tấn công hợp đồng thông minh tinh vi và phức tạp nhất” mà ông từng thấy. Nhóm KyberSwap đã được thông báo rằng kẻ tấn công sẵn sàng thương lượng để trả lại một số tiền.

Theo thống kê của Lookonchain, đã có 5 vụ tấn công hack lớn trong 20 ngày qua, với số tiền vượt quá 290 triệu USD. Kronos Research: 25,65 triệu USD; KyberSwap: 46,5 triệu USD; Poloniex: 118 triệu USD; HECO Bridge: 86,6 triệu USD; Sàn giao dịch HTX: 13,6 triệu USD.

Cyvers Alerts đăng trên nền tảng X rằng hacker thực hiện cuộc tấn công vào KyberSwap đã liên hệ với nhóm để đàm phán.

BlockSec đã ban hành một tài liệu trên nền tảng X nói rằng KyberSwap đã thực hiện cuộc tấn công thông qua thao túng giá và tính thanh khoản gấp đôi. Kẻ tấn công đã vay các khoản vay nhanh và rút cạn các nhóm ít thanh khoản hơn. Bằng cách thực hiện các giao dịch hoán đổi và thay đổi vị trí, họ đã thao túng giá và biến động giá theo thời gian thực của nhóm nạn nhân. Cuối cùng, kẻ tấn công đã kích hoạt nhiều bước hoán đổi và hoạt động báo giá chéo, dẫn đến số lượng thanh khoản tăng gấp đôi làm cạn kiệt nhóm.

Scroll, mạng lớp thứ hai Ethereum dựa trên ZK Rollup, đã tweet rằng họ đang điều tra các vấn đề tiềm ẩn khi triển khai Kyber trên Scroll. Vẫn chưa biết chuyện gì đã xảy ra, nhưng mọi người nên hết sức thận trọng.

Theo giám sát Spot On Chain, KyberSwap đã bị tấn công trên nhiều mạng, bao gồm Arbitrum, Optimism, Ethereum, Polygon và Base. Khoản lỗ lên tới 48,3 triệu USD, chủ yếu bao gồm 16.217 ETH (trị giá 33,5 triệu USD), 3.987.332 ARB (trị giá 4,06 triệu USD), 591.441 OP (trị giá 1,03 triệu USD) và 1.111.926 DAI.