Indexed Finance lần đầu tiên bị tấn công mạng với số tiền trị giá 16 triệu đô la

Tin tặc đã lấy tiền từ nhóm DEFI5 và CC10 bằng cách tấn công mã hợp đồng thông minh để điều chỉnh cách tính toán giá trị của tài sản ký gửi.

ethereum-hackers

Indexed Finance là một giao thức phân quyền tuyệt đối cung cấp cho người dùng khả năng quản lý danh mục đầu tư thụ động trên Ethereum. Bằng cách bơm tài sản cho vay nhanh vào các pool để đổi lấy các token UNI, hacker đã lừa được thuật toán tính toán giá trị của pool.

Điều này cho phép tin tặc khai thác một lượng lớn mã thông báo chỉ mục của nhóm, sau đó tiến hành đốt cháy để xác nhận tài sản. Sau khi hacker trả hết các khoản vay flash ban đầu, họ đã tìm cách trốn thoát với tài sản trị giá 11 triệu đô la từ nhóm DEFI5 và 5 triệu đô la nữa từ nhóm CC10.

Sau khi khai thác, nhóm Indexed Finance đã nhanh chóng đánh giá tình hình và xem xét lại hệ thống, phân tích cách mà tin tặc đã khai thác tài sản và xin lỗi cộng đồng. Ngoài ra, nhóm phát triển đằng sau giao thức đã đưa ra đề xuất để ngăn chặn tình trạng này, đó là sửa đổi các hợp đồng thông minh, loại bỏ hàm giá trị gần đúng và thay thế bằng một hàm lấy giá trị kết hợp của số dư do một nhóm nắm giữ trong mỗi mã thông báo mà nó sở hữu.

Cụ thể, Index Finance sử dụng các giá trị xấp xỉ với Uniswap Oracle để xác định giá trong nhóm Balancer bất cứ khi nào mã thông báo được thêm vào nhóm chỉ mục. Để làm được điều đó, hàm “extrapolatePoolValueFromToken” đã được nền tảng sử dụng. Hàm này có chức năng tìm mã thông báo đầu tiên trong nhóm được khởi tạo và có trọng lượng trên 0, sau đó nó nhân số dư của nhóm với nghịch đảo của trọng lượng.

Tuy nhiên điều quan trọng cần phải nói đến là trước đó, hai chuyên gia bảo mật đã kiểm tra các hợp đồng thông minh Indexed Finance trước khi giao thức triển khai chúng. Cả Daniel Luca, cựu kiểm toán viên của Consensys và Mudit Gupta, nhà phát triển cốt lõi của Sushi, đã xem xét các hợp đồng nhưng không thể phát hiện ra các lỗ hổng.v

Index Finance là một giao thức DeFi cho phép người dùng đầu tư vào các chỉ số dựa trên các loại tiền điện tử khác nhau. Mỗi nhóm chỉ mục cho phép người dùng tự do giao dịch giữa các mã thông báo và các tài sản cơ bản. Nhóm Indexed Finance vẫn chưa công bố kế hoạch đền bù tài sản cho người dùng, họ nói rằng họ sẽ sớm đưa ra đề xuất.

Hai trong số sáu tài sản trong giao thức, DEFI5 và CC10 (cả hai mã thông báo chỉ mục theo dõi các dự án DeFi lớn), đã mất hầu hết giá trị. DEF15 đã giảm 85% một giờ sau vụ hack — từ 88,73 đô la xuống 3,67 đô la, theo dữ liệu của CoinGecko. CC10 mất 98% giá trị; trước khi bị hack, nó đã được giao dịch với giá 62,50 đô la nhưng sau đó nó đã giảm xuống còn 0,74 đô la.

Ba mã thông báo chỉ mục khác, DEGEN, NFTP và ORCL5, đều vẫn đang được cân bằng. Chỉ riêng tháng trước, pNetwork đã mất 12,5 triệu USD do tin tặc và dự án NFT có tên Vee Finance cũng bị khai thác 35 triệu USD. Và vào tháng 8, một hacker đã lấy đi 25 triệu đô la từ nền tảng vay và cho vay Cream Finance.