- Theo hãng bảo mật CertiK, ví FriesDAO đã bị tấn công khai thác thiệt hại 2,3 triệu USD.
- Ví deployer của DAO được tạo bằng một công cụ không an toàn có tên là Profanity.
Một kẻ tấn công không xác định đã đánh cắp 2,3 triệu đô la token từ một tổ chức tự trị phi tập trung có tên FriesDAO. Điều này xảy ra trong bối cảnh hàng loạt các vụ hack và khai thác trong tháng này, vì tháng 10 có vẻ là một tháng đặc biệt tồi tệ đối với các dự án tiền điện tử.
Việc khai thác là do hacker giành được quyền kiểm soát “ví deployer của” FriesDAO và chuyển một lượng lớn FRIES, token quản trị của dự án, vào quyền kiểm soát của họ. Thủ phạm cũng rút các token khác khỏi staking pool, tận dụng triệt để quyền truy cập của vào ví deployer. Công ty bảo mật CertiK ước tính rằng các token bị đánh cắp đã được bán với giá 2,3 triệu USD .
“Chúng tôi nhận thấy rằng hợp đồng deployer hoàn tiền đã được khai thác và quản lý để có được token FRIES sau đó được hoàn lại cho USDC và được bán vào pool của Uniswap,” FriesDAO cho biết, đồng thời thông báo cho người dùng về vụ hack.
Ví deployer của FriesDAO được tạo bằng cách sử dụng Profanity, một công cụ tạo ví được biết là có chứa một lỗ hổng nghiêm trọng. Tháng trước, các nhà phân tích bảo mật tại 1inch đã phát hiện ra rằng các khóa riêng tư của các địa chỉ hư ảo được tạo thông qua Profanity có thể bị hacker độc hại tính toán để ăn cắp tiền. Sau tiết lộ của 1inch, lỗ hổng đã bị hacker khai thác để đánh cắp 160 triệu đô la tài sản tiền điện tử từ công ty tạo lập thị trường Wintermute.
FriesDAO cũng đã dựa vào Profanity để tạo địa chỉ ví deployer của họ. Theo CertiK, do lỗ hổng bảo mật, hacker đã trích xuất khóa riêng của ví để chuyển tiền ra ngoài. Công ty bảo mật nói với The Block trong một tuyên bố rằng việc khai thác FriesDAO có thể tránh được nếu nhóm nghiên cứu chăm chỉ hơn và thay thế địa chỉ deployer kịp thời.
Người phát ngôn cho biết: “Cuộc tấn công này đã có thể ngăn chặn được, vì lỗ hổng Profanity đã được công chúng biết đến trong hơn một tháng qua. “CertiK kêu gọi tất cả các dự án Web3 đã sử dụng công cụ Profanity chuyển ngay quyền kiểm soát bất kỳ tài sản nào được giữ trong các ví bị ảnh hưởng sang các địa chỉ được tạo an toàn.”
Nguồn: theblockcrypto