Một hacker đã tạo ra 1,2 tỷ USD tiền mã hoá giả mạo. Họ chỉ bán được 237.000 USD

Hyperbridge, một cầu nối cross-chain phổ biến, đã bị choáng váng sau khi một hacker sử dụng lỗi mã để tạo ra các token mã hóa không có tài sản thế chấp.

Hacker đã lừa cầu nối tạo ra một tỷ token DOT của Polkadot trên Ethereum blockchain, nhiều chuyên gia bảo mật đã báo cáo vào thứ Hai. Mặc dù số lượng này có giá trị trên giấy tờ khoảng 1,2 tỷ USD, nhưng do thiếu thanh khoản, hacker đã bán các token thông qua sàn giao dịch phi tập trung Uniswap chỉ được hơn 237,000 USD giá trị Ether, hồ sơ onchain cho thấy.

Seun Lanlege, người sáng lập Polytope Labs, công ty đứng sau Hyperbridge, cho biết giao thức đã bị tạm dừng trong khi nhóm của ông làm việc để vá lỗi.

Người phát ngôn của Parity Technologies, một nhà phát triển Polkadot, nói với DL News rằng dựa trên thông tin hiện có, vấn đề này không cho thấy bất kỳ lỗ hổng nào trong giao thức, cơ chế đồng thuận hoặc mã lõi đã được kiểm toán của Polkadot.

Năm ngoái, các hacker đã đánh cắp hơn 649 triệu USD thông qua khai thác lỗi mã, theo báo cáo từ Slowmist, một công ty bảo mật blockchain.

Ngay cả các giao thức đã được thử nghiệm kỹ lưỡng như Balancer, có mã đã hoạt động trên Ethereum blockchain từ năm 2021, cũng không miễn nhiễm. Nó đã mất 128 triệu USD vào tháng 11 sau khi một hacker khai thác lỗi mã.

Trong những tháng gần đây, các nhà phát triển DeFi lo ngại rằng hacker ngày càng sử dụng trí tuệ nhân tạo để tìm các lỗ hổng giao thức DeFi và khai thác chúng.

Các giao thức DeFi dễ bị tấn công nhất

Hyperbridge được tạo ra bởi Lanlege và đồng sáng lập David Salami thông qua Polytope Labs, một công ty nghiên cứu blockchain có trụ sở tại Lagos được thành lập vào năm 2023.

Giao thức cho phép người dùng gửi tài sản giữa các blockchain không kết nối khác nhau, chẳng hạn như Polkadot và Ethereum. Hyperbridge được ra mắt trên Polkadot vào tháng 11 năm 2024.

Nguyên nhân gốc rễ của sự cố dường như là việc giả mạo các thông điệp mà cầu nối sử dụng để đảm bảo người dùng chỉ có thể rút token tương đương với số lượng họ gửi vào, BlockSec, một công ty bảo mật tiền mã hóa, cho biết trên X.

Hacker, BlockSec cho biết, đã tìm ra cách giả mạo các thông điệp này. Điều này cho phép họ lừa giao thức tạo ra một tỷ token DOT mà không cần gửi cùng số lượng vào cầu nối.

Vào một thời điểm, các cầu nối cross-chain được xem là một số giao thức DeFi dễ bị tấn công nhất.

Vào năm 2022, một hacker đã sử dụng lỗi trong Wormhole, một cầu nối cross-chain kết nối Solana với một số blockchain khác, để đánh cắp khoảng 322 triệu USD. Giống như cuộc tấn công Hyperbridge, hacker đã lừa cầu nối cho phép họ tạo ra các token giả.

Một tháng sau đó, các hacker Triều Tiên đã đánh cắp khoảng 625 triệu USD từ một cầu nối cross-chain kết nối blockchain Ronin với Ethereum. Lần này, vụ trộm là do các hacker giành được quyền truy cập vào các khóa riêng giống như mật khẩu kiểm soát cầu nối.

Mặc dù các cuộc tấn công vào cầu nối cross-chain đã trở nên ít phổ biến hơn trong những năm gần đây, nhiều lựa chọn thiết kế tương tự khiến chúng dễ bị tổn thương vẫn còn tồn tại.

Token DOT của Polkadot đã giảm khoảng 5% trong 24 giờ qua.

Tim Craig là Phóng viên DeFi có trụ sở tại Edinburgh của DL News. Liên hệ với các thông tin tại tim@dlnews.com.