Dùng 200 nghìn đô la để rút gần 100 triệu đô la, stablecoin DeFi lại bị tấn công
Không gian DeFi một lần nữa chứng kiến một vụ tấn công quy mô lớn nhắm vào stablecoin USR của Resolv Labs. Vào lúc 10:21 sáng ngày hôm nay (theo giờ Bắc Kinh), một hacker với địa chỉ bắt đầu bằng 0x04A2 đã chỉ sử dụng 100.000 USDC để đúc ra 50 triệu USR thông qua lỗ hổng trong cơ chế mint token của giao thức.
Sau khi sự kiện được phơi bày, giá USR lao dốc mạnh xuống khoảng 0,25 USD, và sau đó phục hồi một phần về mức 0,8 USD tại thời điểm bài viết. Tin tức cũng khiến token RESOLV giảm gần 10%. Tận dụng điểm yếu, hacker lặp lại thủ thuật một lần nữa, dùng thêm 100.000 USDC để tạo ra 30 triệu USR nữa.
Theo phân tích từ cộng đồng DeFi, nguyên nhân có thể do role SERVICE_ROLE (vốn được dùng để cung cấp tham số mint) đã bị hacker kiểm soát. Giao thức đã tin tưởng hoàn toàn tham số từ offchain mà không kiểm tra lại trên chain bằng oracle, cũng như không thiết lập giới hạn mint tối đa, dẫn đến việc hacker có thể tuỳ ý khai báo số lượng USR được đúc ra.
Hậu quả lan rộng đến các giao thức cho vay như Morpho và Lista DAO trên BNB Chain, nhiều thị trường vay dùng USR làm tài sản thế chấp gần như bị rút sạch. Ngoài ra, token RLP trong hệ thống – vốn chịu rủi ro bồi thường khi giao thức tổn thất – cũng bị ảnh hưởng nặng, với Stream Finance (vốn đã từng gặp sự cố với xUSD) là nắm giữ lớn và phơi nhiễm rủi ro lên tới ~17 triệu USD.
Chỉ với 200.000 USDC, hacker đã thu về hơn 20 triệu USD tài sản, chủ yếu là USDT, USDC và hơn 10.000 ETH. Sự cố này một lần nữa cảnh báo các dự án phải xây dựng cơ chế xác minh chặt chẽ hơn, kể cả với các thành phần được cho là đáng tin cậy nội bộ, và chuẩn bị sẵn kế hoạch phản ứng nhanh cho các tình huống khẩn cấp.
marsbit03/22 09:54
