Giao thức tài chính phi tập trung quản lý thanh khoản (DeFi) Visor Finance là nạn nhân mới nhất của vụ hack DeFi, với giao thức ước tính đã làm mất tài sản kỹ thuật số trị giá 8,2 triệu USD – và trở thành cơ sở tiền điện tử thứ 7 bị khai thác trong tháng cuối năm.
Như đã báo cáo, tháng 12 đã chứng kiến sự gia tăng đặc biệt về số lượng các vụ hack và khai thác DeFi. Cho đến nay trong tháng này, các dự án DeFi DAO lửng, Bitmart, AscendEX, Vulcan rèn, Grim Finance, và Tài chính Bent đã được khai thác cho nhiều loại tiền điện tử khác nhau.
Trong khi đó, nhóm của Visor Finance đã xác nhận vụ hack vào cuối giờ ngày 21 tháng 12, nói rằng hợp đồng đặt cược đã bị lợi dụng và họ sẽ hoàn lại tiền cho những người dùng bị ảnh hưởng.
“Chúng tôi biết về việc khai thác hợp đồng đặt cược vVISR và đang áp dụng một kế hoạch di chuyển cho VISR bị ảnh hưởng. Không có vị trí hoặc người giám sát nào gặp rủi ro”, nhóm nói.
Trong một bài đăng trên phương tiện “sau khi khám nghiệm”, dự án đã nêu chi tiết rằng “một hợp đồng độc hại đã rút hết hợp đồng đặt cược của Visor Finance” với hơn 8,8 triệu VISR token, trị giá hơn 8 triệu USD vào thời điểm xảy ra vụ hack.
“Cuộc tấn công có thể thực hiện được bằng cách triển khai giao diện IVisor agentTransferERC20 và gọi chức năng rút tiền của hợp đồng đặt cược với số tiền VISR mong muốn”, nhóm nghiên cứu cho biết. “Sự phụ thuộc vào việc triển khai IVisor agentTransferERC20 tùy ý của người gọi cho phép cuộc tấn công diễn ra.”
Theo các giao dịch Etherscan, hacker đã hoán đổi phần lớn mã thông báo VISR của họ lấy ethereum (ETH) thông qua trao đổi phi tập trung Uniswap (UNI). Họ cũng đã chuyển tiền thông qua Tornado Cash, một giải pháp bảo mật không giám sát được xây dựng trên Ethereum giúp cải thiện quyền riêng tư của giao dịch bằng cách phá vỡ liên kết trên chuỗi giữa địa chỉ nguồn và địa chỉ đích.
Tuy nhiên, do tính thanh khoản kém của mã thông báo, tin tặc đã kết thúc chỉ với khoảng 200 ETH (hiện trị giá 812.000 USD), thấp hơn rất nhiều 8 triệu USD. Tính đến 8:23 UTC vào sáng thứ Tư, gần 134.900 USD cũng đang nằm trong ví của kẻ tấn công, bao gồm khoảng 1,3 triệu VISR và 15,89 ETH.
Là một phần trong kế hoạch tương lai của họ, Visor Finance cho biết họ muốn tung ra một mã thông báo mới với một mã chứng khoán mới, vì sẽ rất khó hiểu nếu mã này vẫn giữ nguyên. Nó nói rằng người dùng sẽ có thể đổi mã thông báo mới với tỷ lệ 1: 1, thêm rằng họ đã bắt đầu quá trình niêm yết mã thông báo mới trên các cơ quan đăng ký khác nhau.
“Không ai nên mua VISR vì nó sẽ không thể đổi lấy mã thông báo mới,” nhóm cho biết.
Trước khi xảy ra vụ hack, Uniswap v2 và Uniswap v3 đã cung cấp tính thanh khoản cho dự án. “Số lượng ETH và mã thông báo giống nhau chính xác sẽ được đặt ở các vị trí thanh khoản ngay sau khi mã thông báo mới và hợp đồng di chuyển mã thông báo được triển khai”, dự án cho biết.
Sau cuộc tấn công, khi hacker đang hoán đổi VISR, mã thông báo gốc của Visor Finance, đồng tiền này đã bị phá vỡ. Tính đến hiện tại, VISR giảm 96% trong 24 giờ qua, giao dịch ở mức 0,038 USD.
Đáng chú ý, đây không phải là lần đầu tiên Visor Finance bị khai thác. Vào cuối tháng 6, kẻ tấn công đã có được quyền truy cập vào tài khoản quản lý một số chức năng quản trị của dự án và rút số tài sản tiền điện tử trị giá 500.000 USD.
____
Tìm hiểu thêm:
– Lần hack thứ 6 trong tháng này đã được xác nhận: Bent Finance yêu cầu các nhà đầu tư rút tất cả các khoản tiền
– YFI tăng 80% trong một tuần khi Đội hứa ‘Mua lại tích cực’
– Bảo mật tiền điện tử vào năm 2022: Chuẩn bị cho nhiều vụ tấn công DeFi, sự cố trao đổi và sai lầm của Noob
– Chúng ta học được gì từ MonoX Hack?
– Xu hướng quy định tiền điện tử năm 2022: Tập trung vào DeFi, Stablecoin, NFT, v.v.
– Người trong ngành tiền điện tử chia sẻ các xu hướng Ethereum, DeFi, Trò chơi và TradFi hàng đầu cho năm 2022