Skip to content Skip to sidebar Skip to footer

Các dự án được xây dựng trên Binance Smart Chain gần đây đang liên tục trở thành mục tiêu của những kẻ tấn công. Sau Pancake Bunny, BurgerSwap hay Venus, sáng ngày 30 tháng 5, cái tên mới nhất trong danh sách này là Belt Finance, với tổng thiệt hại tạm ước tính được là 6,2 triệu USD.

Belt Finance bị tấn công, lại là flash loan, và lại là... BSC

Belt Finance bị tấn công, lại là flash loan, và lại là… BSC
Belt Finance là một nền tảng AMM tối ưu hóa lợi nhuận được xây dựng trên Binance Smart Chain. Tính đến thời điểm ra mắt, đây là dự án IFO lớn nhất trên Pancake Swap với tốc độ phát triển cực nhanh, chạm mốc 700 triệu USD TVL chỉ trong vòng 48h.

Lại là “con dao 2 lưỡi” Flash loan

Sáng ngày 30/05 (theo giờ Việt Nam), trang tin Wu Blockchain đã lên tiếng về vụ tấn công của Belt Finance với thiệt hại 6,2 triệu USD:

 

Đội ngũ Belt Finance cũng đã lên tiếng xác nhận thông tin về vụ tấn công

 

“Một phần quỹ 4Belt của chúng tôi đã bị ảnh hưởng. (Số tiền chính xác sẽ sớm được công bố).
Chúng tôi hiện đang phân tích và cập nhật hợp đồng để đảm bảo an toàn.
Kế hoạch bồi thường và báo cáo về vụ tấn công sẽ sớm được công bố.
Việc rút các vault BSC sẽ bị tạm dừng cho đến khi hoàn tất quá trình nâng cấp hợp đồng.”

Sau khi thông tin về vụ tấn công được đăng tải, giá của BELT đã giảm đến 30%, từ 40 USD xuống 28 USD trong thời điểm hiện tại.

Theo Igor Igamberdiev , thành viên đội nghiên cứu thị trường của The Block, cũng là tài khoản theo dõi sát sao những vụ tấn công trên BSC, quy trình của vụ tấn công được thực hiện như sau:

 

1) Sử dụng flash loan vay 385 triệu USD bằng token BUSD từ PancakeSwap

2) Gửi 10 triệu BUSD vào pool bEllipsisBUSD (chỉ thực hiện với giao dịch đầu tiên, đây là “Most Insufficient Strategy”)

3) Liên tục gửi BUSD vào pool bVenusBUSD, swap ra USDT (thông qua Ellipsis), sau đó rút BUSD ra, Swap sang USDT, rồi lại tiếp tục vòng lặp này.

4) Trả khoản flash loan và thu về lợi nhuận

Giá beltBUSD phụ thuộc vào tổng số dư của tất cả các vault. Về mặt lý thuyết, các hành động lặp đi lặp lại như trên sẽ không tạo ra lợi nhuận vì số lượng tài sản không thay đổi.

Tuy nhiên, những kẻ tấn công đã tiến hành thao túng giá của beltBUSD – một điểm yếu trong cấu trúc của Belt Finance. Bằng cách liên tục mua và bán BUSD, kẻ tấn công đã thao túng mức giá token này với một lỗi trong chiến lược tính toán số dư bEllipsisBUSD.

 

Tất cả BUSD bị đánh cắp đã được chuyển đổi thành 2680 anyETH (6 triệu USD) thông qua 1 inch v3 và một phần được rút về Ethereum. 1463 ETH vẫn đang trong quá trình hoàn tất việc chuyển khỏi cross-chain bridge tại thời điểm thực hiện bài viết.

Những mối lo ngại từ Binance Smart Chain

Đây là vụ tấn công thứ 4 chỉ trong vòng 10 ngày nhắm vào các dự án lớn trên BSC, sau sự cố của Venus, thị trường lại một phen thót tim với việc Pancake Bunny bị tấn công flash loan, 10 tỷ USD giá trị token được in vô tội vạ. Không lâu trước đây, Spartan Protocol cũng bị tấn công.

Xa hơn, vào ngày 28/04, nền tảng từng “cà khịa” PancakeSwap là Uranium Finance vừa bị cuỗm mất 50 triệu USD. Những vụ việc này làm dấy lên câu hỏi lớn về tính an toàn của các dự án xây dựng trên Binance Smart Chain, và xa hơn là chính bản thân mạng lưới BSC.

 

 

 – BBT Blockchain247 –

Viết bình luận

3 + 4 =