Hacker sử dụng phương thức tấn công bằng “khoản vay chớp nhoáng” và đã thành công. Chúng đánh cắp khối lượng tiền mã hóa trị giá lên tới 182 triệu USD. Trong số đó, 80 triệu USD đã được chuyển qua Tornado Cash – một giao thức trộn tiền điện tử cho phép các giao dịch riêng tư, theo The Verge.

Beanstalk Farms là một dự án tài chính phi tập trung (Defi) nhằm cân bằng cung và cầu của các tài sản tiền điện tử khác nhau. Đáng chú ý, cuộc tấn công đã khai thác hệ thống quản trị phiếu bầu đa số của Beanstalk, một tính năng cốt lõi của nhiều giao thức Defi.

Beanstalk tự mô tả mình là một “giao thức Stablecoin dựa trên tín dụng phi tập trung”. Họ vận hành một hệ thống nơi những người tham gia kiếm được phần thưởng bằng cách đóng góp tiền vào quỹ tài trợ trung tâm, được sử dụng để cân bằng giá trị của một mã thông báo có tên BEAN ở mức gần 1 USD.

Giống như nhiều dự án Defi khác, nhóm phát triển Publius đã tạo ra Beanstalk với cơ chế quản trị mà những người tham gia có thể bỏ phiếu tập thể đối với những thay đổi của mã thông báo BEAN. Sau đó, họ sẽ có được quyền biểu quyết tương ứng với giá trị của các mã thông báo mà họ nắm giữ, tạo ra lỗ hổng có thể cho thấy dự án còn chưa hoàn thiện.

Cuộc tấn công được thực hiện bởi một sản phẩm Defi khác được gọi là “khoản vay chớp nhoáng”, cho phép người dùng vay một lượng lớn tiền điện tử chỉ trong vài phút hoặc thậm chí vài giây. Các khoản cho “vay chớp nhoáng nhằm” cung cấp tính thanh khoản hoặc tận dụng các cơ hội chênh lệch giá nhưng cũng có thể được sử dụng cho các mục đích khác.

“Độc chiêu” chiếm đoạt hàng chục triệu USD tiền điện tử của hacker - Ảnh 1.

Giao dịch khoản vay chớp nhoáng của kẻ tấn công vào Beanstalk Farms. Ảnh: Beanstalk Farms

Theo phân tích từ công ty bảo mật Blockchain CertiK, hacker tấn công Beanstalk đã sử dụng một khoản vay nhanh có được thông qua giao thức phi tập trung Aave để vay gần 1 tỉ USD tài sản tiền điện tử và đổi chúng lấy đủ mã BEAN, để đạt được 67% cổ phần biểu quyết trong dự án. 

Với cổ phần lớn này, hacker có thể phê duyệt việc thực thi mã chuyển tài sản vào ví của chính bọn chúng. Tin tặc sau đó hoàn trả ngay lập tức khoản vay chớp nhoáng, thu về khoản lợi nhuận 80 triệu USD. Dựa trên thời lượng của một khoản vay nhanh Aave, toàn bộ quá trình diễn ra trong vòng chưa đầy 13 giây.

“Xu hướng ngày càng tăng trong các cuộc tấn công cho vay nhanh trong năm nay. Những cuộc tấn công này nhấn mạnh hơn nữa tầm quan trọng của việc kiểm tra bảo mật và cũng là những bài học về những cạm bẫy của các vấn đề bảo mật khi viết mã Web3”- Giám đốc Điều hành CertiK và đồng sáng lập Ronghui Gu cho biết.

Đối với các nhà đầu tư vào Beanstalk, họ đã mất số tiền đặt cọc và thực tế rất ít khả năng truy đòi lại. Trong một thông báo được đăng ngay sau vụ hack, những người sáng lập Beanstalk đã viết rằng “rất có khả năng” dự án sẽ nhận được một gói cứu trợ.

Trong máy chủ Discord của dự án, nhiều người dùng tuyên bố đã mất hàng chục ngàn USD tiền điện tử đã đầu tư. Kể từ cuộc tấn công, tin tặc đã chuyển tiền thông qua Tornado Cash – một dịch vụ trộn tập trung vào quyền riêng tư đã trở thành một bước đi đầu tiên trong việc “rửa các quỹ tiền điện tử bị đánh cắp”. Với phần lớn số tiền bị đánh cắp hiện đã bị ẩn đi, nó khó có thể được truy tìm và trả lại cho khổ chủ.

Sau cuộc tấn công, giá trị của Stablecoin BEAN đã giảm mạnh, phá vỡ mức chốt 1 USD và chỉ giao dịch với giá khoảng 14 xu ở chốt phiên gần nhất.

“Độc chiêu” chiếm đoạt hàng chục triệu USD tiền điện tử của hacker - Ảnh 2.

Dự án tiền điện tử Beanstalk bị hacker đánh cắp theo cách ko ngờ. Ảnh: The Verge

Bằng Hưng