Công ty an ninh tiền điện tử CertiK báo cáo về lỗ hổng mới dựa trên Oracle - Kinh tế Crypto

Một hacker liên tục nhắm vào các giao thức cho vay DeFi thông qua cấu hình sai oracle, tổng thiệt hại đã lên tới khoảng 3,5 triệu USD cho đến nay. Vụ việc mới nhất ảnh hưởng đến Ploutos Money, mất gần 400.000 USD sau một lỗi rõ ràng của oracle giá.

Công ty an ninh blockchain CertiK báo cáo rằng giao thức đã bị khai thác lấy đi 187,36 ETH (khoảng 388.000 USD) do một oracle bị cấu hình sai. Ngay sau cuộc tấn công, trang web và các tài khoản mạng xã hội của Ploutos đã bị xóa.

Theo phân tích từ nhà kiểm toán blockchain BlockSec, Ploutos Money đã sử dụng sai feed giá BTC/USD của Chainlink làm tham chiếu oracle cho USDC. Lỗi cấu hình này đã cho phép kẻ tấn công thao túng giá trị tài sản thế chấp. Cuộc khai thác xảy ra chỉ một khối sau khi thay đổi cấu hình được xác nhận. Kẻ tấn công đã vay được 187 ETH trong khi chỉ cần đặt cọc 8 USDC làm tài sản thế chấp.

Nhà điều tra on-chain giấu tên Tanuki42 liên kết cùng một kẻ khai thác với ít nhất bốn vụ hack khác, trong đó có hai vụ trị giá hàng triệu đô la ảnh hưởng đến Moonwell. Tuần trước, Moonwell còn nợ xấu 1,8 triệu USD sau khi một oracle bị cấu hình sai trả về giá cbETH là 1,12 USD thay vì khoảng 2.200 USD.

Một vụ khai thác tương tự đã ảnh hưởng đến Veil.Cash, một giao thức bảo mật riêng tư trên Base, tuần trước. Tuy nhiên, thiệt hại chỉ giới hạn ở khoảng 4,5 ETH, trong đó 2 ETH đã được đội ngũ bảo mật white-hat Decurity thu hồi.

Nguồn: Báo cáo từ CertiK

Lưu ý: Crypto Economy Flash News được chuẩn bị dựa trên các nguồn chính thức và công khai do đội ngũ biên tập của chúng tôi xác minh. Mục đích của nó là cung cấp các cập nhật nhanh về các diễn biến liên quan trong lĩnh vực tiền điện tử và blockchain.

Thông tin này không phải là lời khuyên tài chính hoặc đề xuất đầu tư. Người đọc nên xác minh qua các kênh chính thức trước khi đưa ra quyết định liên quan.