Purrlend Exploit Đánh Cắp 1,5 Triệu Đô La Trên HyperEVM Và MegaETH

Purrlend mất 1,5 triệu USD trong một vụ khai thác DeFi liên quan đến việc cập nhật ví admin đáng ngờ. Xem chuyện gì đã xảy ra trên HyperEVM và MegaETH.

Purrlend, một giao thức cho vay được xây dựng trên HyperEVM và MegaETH, đã bị khai thác nghiêm trọng. 

Những kẻ tấn công đã rút khoảng 1,5 triệu USD trên cả hai mạng. 

Vụ vi phạm bắt nguồn từ một giao dịch multisig admin đáng ngờ. Giao dịch này đã cấp quyền bridge trái phép vài giờ trước cuộc tấn công. 

Giao thức đã tạm dừng toàn bộ hoạt động và tiến hành điều tra.

Cách cập nhật ví admin của Purrlend kích hoạt vụ khai thác

Theo các báo cáo, một giao dịch quan trọng đã xảy ra lúc 8:20 sáng (Giờ VN). 

Multisig admin đã cập nhật giới hạn vay và gán vai trò cho một địa chỉ không xác định.

Địa chỉ đó sau đó nhận được quyền bridge, cho phép đúc token không có tài sản bảo đảm. Nói ngắn gọn, các token được đúc mà không có bất kỳ tài sản thế chấp thực sự nào.

Loại quyền truy cập này rất nhạy cảm trong các hệ thống cho vay DeFi. Việc cấp quyền cho một địa chỉ chưa được xác minh đã mở ra cơ hội rút tiền hàng loạt.

Cộng đồng nhanh chóng gắn cờ hoạt động ví này là đáng ngờ. Câu hỏi về ai đã ủy quyền giao dịch vẫn chưa được trả lời.

Purrlend đã xác nhận trên tài khoản chính thức rằng họ phát hiện hoạt động bất thường. 

Nhóm nhân viên cho biết giao thức đã bị tạm dừng và sẽ có thêm thông tin cập nhật. Chưa có phân tích kỹ thuật chi tiết nào được công bố.

Chi tiết số tiền bị đánh cắp trên HyperEVM và MegaETH

Nhà phân tích on-chain kirbycrypto đã trình bày chi tiết các tài sản bị đánh cắp. 

HyperEVM chịu thiệt hại lớn hơn, mất tổng cộng 1.197.488 USD. Trong đó bao gồm 449.683 USDC, 214.125 USDT0 và 194.745 USDH. Các tài sản bị đánh cắp khác bao gồm wstHYPE, UBTC, UETH, kHYPE và WHYPE.

MegaETH ghi nhận thiệt hại 324.549 USD. Những kẻ tấn công đã lấy 163.169 USDT0, 36,8 WETH và 75.745 USDm từ chuỗi đó. 

Tổng cộng, con số đạt khoảng 1,52 triệu USD. Kirbycrypto đã công bố toàn bộ chi tiết trên X, dẫn dữ liệu giao dịch cấp độ ví.

Các tài sản bị nhắm mục tiêu chủ yếu là stablecoin và wrapped token. Đây thường là những mục tiêu có tính thanh khoản cao trong các vụ khai thác DeFi.

Khả năng di chuyển dễ dàng giữa các chuỗi khiến chúng trở nên hấp dẫn với kẻ tấn công.

Đọc thêm:

Phản ứng của cộng đồng và tháng Tư khó khăn của DeFi tiếp diễn

Các thành viên cộng đồng đã phản ứng với sự thất vọng trên các nền tảng mạng xã hội. 

Một số người dùng chỉ ra các dấu hiệu cảnh báo trước đó. Một mối lo ngại được nêu ra là giao thức được quảng bá rầm rộ ngay trước sự kiện token của MegaETH.

Những người khác gọi đây là một vụ nội gián tiềm tàng, dù chưa có bằng chứng nào xác nhận điều đó.

Chưa có khoản tiền nào được thu hồi cho đến nay. Nhóm Purrlend chưa công bố kế hoạch khắc phục công khai. Cuộc điều tra vẫn đang tiếp diễn tính đến thời điểm báo cáo này.

Sự cố này góp thêm vào giai đoạn khó khăn của lĩnh vực DeFi. Chỉ riêng tháng Tư đã chứng kiến hơn 600 triệu USD thiệt hại từ các cuộc tấn công và khai thác khác nhau. 

Purrlend gia nhập danh sách ngày càng dài các giao thức bị vi phạm bảo mật trong tháng này. Xu hướng này đã làm dấy lên lo ngại rộng hơn về kiểm soát quyền truy cập trong cấu trúc quản trị DeFi.

Bài viết Purrlend Exploit Steals $1.5M on HyperEVM and MegaETH xuất hiện đầu tiên trên Live Bitcoin News.