Bi hài kịch của PancakeBunny – Các đợt bị tấn công liên tiếp

Cách tốt nhất để đối phó với vụ tấn công hack 45 triệu đô la là không nên vội vàng ra mắt dự án tiếp theo.

Bi hài kịch của PancakeBunny

PancakeBunny chịu thiệt hại nặng nề từ các cuộc tấn công flash loan

Điều đầu tiên cần hiểu tấn bi hài kịch của PancakeBunny là về vụ tấn công PancakeBunny là nó diễn ra vào ngày 19 tháng 5, với việc hacker đã kiếm được khoảng 45 triệu đô la trong một vụ tấn công flash loan (khoản vay nhanh – những cuộc tấn công lợi dụng hình thức cho vay nhanh và những lỗ hổng trong giao thức để trục lợi cho cá nhân), và sau đó đã làm giảm giá token của BUNNY xuống đến 96%, từ 220 đô la xuống còn khoảng 10 đô la chỉ trong vòng một ngày. Mãi đến khoảng sáu tuần sau, nó chỉ phục hồi được khoảng 15 đô la.

Điều thứ hai là các nhà phát triển tại Bunny Finance dường như đã không học được bài học nào sau vụ tấn công này. Vào ngày 16/7, đợt Blockchain Fork Polygon (mặc dù đã được lên kế hoạch từ lâu) của công ty PolyBunny, cũng đã bị tấn công, đây cũng là một cuộc tấn công flash loan và đã tạo ra thêm (mint – một quá trình mà chúng ta đưa một dữ liệu vào bên trong hệ thống Blockchain, một khi dữ liệu đã được đưa vào thì sẽ không có cách nào bạn có thể gỡ bỏ được nó) các token POLYBUNNY trị giá 2,1 triệu đô la – làm giảm giá các mã token của nó từ 10 đô la xuống dưới 2 đô la.

Mặc dù các cuộc tấn công này gây ra các khoản lỗ lớn cho BNB (Binance Coin) và BUNNY, song tác động nặng nề nhất là đối với những người nắm giữ coin trên Automated Market Maker (AMM – là công cụ tạo lập thị trường tự động và thường hoạt động trên các sàn giao dịch phi tập trung (DEX), nơi mà mọi thứ diễn ra tự động mà con người không thể can thiệp) và yield farming trên sàn giao dịch phi tập trung (DEX) (do thiệt hại của việc giảm giá hai token của dự án này)

Theo công ty phân tích và trí tuệ Blockchain hàng đầu CipherTrace, các cuộc tấn công vào PancakeBunny và PolyBunny chỉ là vụ tấn công mới nhất trong số các vụ tấn công vào các dự án DeFi. Trong một báo cáo vào tháng 5 năm 2021, CIpherTrace đã phát hiện ra rằng trong bốn tháng đầu năm, 70% tất cả các vụ hack và gian lận tiền điện tử lớn đều nhắm mục tiêu vào các dự án tài chính phi tập trung như thế này.

Tệ hơn nữa, số tiền bị mất trong hai hạng mục (hack và gian lận tiền điện tử) này vào cuối tháng 4 là 239 triệu đô la, so với 170 triệu đô la trong cả năm 2020. Và số liệu đó là trước khi PancakeBunny bị hack 45 triệu đô la. Ngoài ra, còn có thêm cuộc tấn công giao thức Spartan trị giá 30 triệu đô la vào tháng 5 và một số cuộc tấn công nhỏ hơn bao gồm BurgerSwap, AnySwap, ChainSwap (x2), THORChain và PolyBunny, và thiệt hại đã hơn 300 triệu đô la cho đến nay trong năm 2021.

Phân tích việc tấn công lỗ hỏng bảo mật 

Tóm tắt lại những gì đã xảy ra với PancakeBunny là nó đã phải hứng chịu thiệt hại từ một cuộc tấn công flash loan. Song, chúng ta phải biết rằng: một khoản vay nhanh (flash loan) phải được vay và hoàn trả trong một giao dịch duy nhất, đó là những gì đã xảy ra ở đây.

Vấn đề là mặc dù các khoản vay nhanh phải được vay và hoàn trả trong một giao dịch duy nhất, nhưng chúng không được đảm bảo, có nghĩa là có thể vay một số tiền khổng lồ, làm thay đổi tổng giao dịch trên thị trường. Cuộc tấn công vào PancakeBunny đã tận dụng được điều này rất hiệu quả.

Đầu tiên, tin tặc đã vay hơn 700 triệu đô la Binance Coin (BNB) từ bảy nhóm cho vay PancakeBunny, cũng như gần 3 triệu đô la Tether – một loại stable coin được gắn cho các loại tiền tệ fiat (USDT) từ một nguồn khác. Họ đã lợi dụng điều này để thao túng giá BNB bằng cách tận dụng một lỗi trong hồ thanh khoản BNB-USDT (liquidity pool – một tập hợp các quỹ được giữ trong một hợp đồng thông minh) của PancakeBunny, cho phép họ kiếm được gần 7 triệu BUNNY qua một quy trình phức tạp gồm 6 giai đoạn. Khoản tiền này đã được bán phá giá khoảng 2,4 triệu BNB – khiến giá BUNNY giảm xuống.

Sau khi hoàn trả các khoản vay nhanh, hacker còn lại 114.631 BNB trị giá khoảng 45 triệu đô la.

Cuộc tấn công ở đây là kết quả của một lỗ hổng trong giao thức PancakeBunny, chúng đã xác định số lượng mã token quản trị BUNNY (governance token) sẽ được đúc thêm (mint) dựa trên số lượng BNB so với số lượng USDT trong hồ (pool).

Bunny thực hiện bồi thường 

Vào ngày 17 tháng 6, Team Bunny đã công bố kế hoạch khôi phục sau cuộc tấn công, họ tập trung vào việc đưa “giá trị mới có ý nghĩa” vào hệ sinh thái PancakeBunny, bất chấp những thách thức về sự xuống dốc trong thị trường tiền điện tử.

Cụ thể, các nhà phát triển đã công bố kế hoạch đẩy nhanh việc tạo ra “thiết kế và lộ trình sản phẩm để có thể đưa tất cả các yếu tố chính đó (“giá trị mới có ý nghĩa”) lên trực tuyến (online) trong tháng tới (thay vì đến cuối năm như kỳ vọng ban đầu của chúng ta). ”

Các kế hoạch của họ trong số này bao gồm Polygon, giao thức cho vay Qubit, Multiplexer double farming (farming hai phía) và PancakeBunny Safe Swap. Đầu tiên sẽ là một đợt fork của giao thức PancakeBunny BSC lên các Blockchain mới (Blockchain đầu tiên trong số những đợt fork này là Polygon, sẽ sử dụng token polyBUNNY)

Tiếp theo là giao thức cho vay Qubit (sử dụng token QBT mới), kế đến là Multiplexer double farming và PancakeBunny Safe Swap – chúng sẽ không hỗ trợ các khoản vay nhanh (flash loan) nữa.

Chung quy lại, mục tiêu là duy trì giá trị của nền tảng, tăng total value locked (tổng lượng giá trị tài sản khóa lại trong hợp đồng thông minh của DeFi) và củng cố BUNNY.

Ngoài ra, team Bunny đã nghĩ ra một cách để bồi thường cho những người nắm giữ BUNNY vì tổn thất của họ vào ngày 20 tháng 5. Với giá trị của BUNNY lúc đó là khoảng 39 triệu đô la, một mã token mới – Platinum BUNNY, hay pBUNNY – đã được công bố, bên cạnh đó họ cũng công bố một “hồ bồi thường” (Compensation Pool – pool bồi thường), bao gồm phí hiệu suất trong tương lai và một khoản đóng góp từ các khoản nắm giữ Bunny của chính các nhà phát triển. Ngoài ra, một chương trình buyback-and-burn (kế hoạch mua lại và hủy các đồng coin do các nhà phát hành thực hiện nhằm giảm số lượng coin/ token và qua đó tăng giá trị đồng coin đó) “tích cực” đã được công bố để tránh những ảnh hưởng của các mã token mới.

Năm tuần sau, họ cho ra mắt Mound Vault, một kho lưu trữ token do các nhóm của BUNNY và polyBUNNY quyên góp, các token QBT và tiền thu được của các dự án trong tương lai. Nó sẽ sử dụng token MND (một token tiện ích có khối lượng cố định được liên kết và hỗ trợ bởi tổng giá trị của Mound Vault).

Nhưng không may…

Bunny lại bị tấn công

Vào ngày 17 tháng 7, blog PancakeBunny Medium một lần nữa có từ “Post-Mortem” (được dịch là: thảo luận về một sự kiện sau khi nó đã xảy ra, đặc biệt là về những gì sai với nó hoặc tại sao nó không thành công) trong tiêu đề các blog của mình.

Một cuộc tấn công flash loan đã được thực hiện thành công, chống lại Polygon PancakeBunny. Lần này, kẻ tấn công đã sử dụng khoản vay nhanh 48 triệu đô la để đúc thêm (mint) 2,1 triệu token PolyBUNNY, được bán để đổi lấy đồng ETH (Ethereum) và được sử dụng để trả lại cho khoản vay, qua đó thu về cho kẻ tấn công 1.287,1 ETH, trị giá khoảng 2,4 triệu đô la.

Giá của PolyBunny giảm từ khoảng 10 đô la xuống còn khoảng 2 đô la.

Các nhà phát triển Team Bunny đã mất trắng số token MND trị giá 2,4 triệu đô la của riêng họ.

PancakeBunny đi chậm hơn sau khi bị tấn công

Để đối phó với vụ hack thứ hai, vào ngày 21 tháng 7 Bunny Finance đã thông báo rằng họ đang “làm chậm tốc độ” phát hành sản phẩm của mình để đặt tính bảo mật lên “ưu tiên hàng đầu”.

Mặc dù “trọng tâm chính trước đây của giao thức là mở rộng hệ sinh thái PancakeBunny và đưa giá trị vào cộng đồng PancakeBunny càng nhanh càng tốt để tăng tốc độ khôi phục các dịch vụ của chúng tôi”, nhóm Bunny cho biết một phân tích và đánh giá sâu rộng về các sự kiện dẫn đến lần tấn công thứ hai buộc nó phải sửa đổi kế hoạch phát triển và triển khai để tập trung vào việc tạo ra “chế độ bảo mật mạnh nhất trong DeFi.”

Điều này sẽ bao gồm tất cả các lần ra mắt các hợp đồng thông minh trên mạng thử nghiệm (testnet), tạo ra các nhóm tiền thưởng “tích cực” (“aggressive” bounty buckets) và hoàn thành kiểm tra “toàn diện” trước khi ra mắt mạng chính. Ngoài ra, quá trình đánh giá code lần thứ hai sẽ được hoàn thành trước khi bất kỳ sản phẩm mới nào được phát hành.

“Quá trình này có thể kéo dài thêm vài tuần cho lộ trình phát hành và chúng tôi rất tiếc vì cung cấp giá trị như mong muốn của hệ sinh thái chúng tôi trong một khung thời gian cực kỳ eo hẹp, điều này đã khiến chúng tôi chọn tiến hành kiểm toán và phát hành đồng thời phiên bản beta của Polygon.PancakeBunny.”

BSC có thể sẽ bị tấn công tiếp theo

Các cuộc tấn công flash loan đang là một vấn đề ngày càng tăng đối với Binance Smart Chain, hay BSC, một Blockchain được cho là “kẻ tiêu diệt Ethereum” đã tăng trưởng mạnh mẽ gần đây.

Về phần mình, CipherTrace đã công bố hỗ trợ việc phân tích cho BSC vào ngày 27 tháng 5 (CipherTrace bổ sung hỗ trợ phân tích cho Binance Smart Chain để theo dõi các giao dịch bất hợp pháp, hợp pháp hóa chuỗi để có thêm cơ hội hợp tác).

Hai ngày sau, vào ngày 29 tháng 5, thread (một loạt các tweet và reply) trên tài khoản Twitter chính thức của BSC cảnh báo rằng: “Có hơn 8 vụ hack #flashloan gần đây, chúng tôi tin rằng một nhóm tin tặc có tổ chức đang nhắm mục tiêu vào #BSC ngay bây giờ. Đó là [một] thời gian rất thách thức đối với cộng đồng BSC. ”

Họ tiếp tục kêu gọi các DApp thuê người để làm việc với các công ty kiểm toán để kiểm tra tính bảo mật – và nếu fork Blockchain, hãy “kiểm tra hai đến ba lần các thay đổi so với [phiên bản] ban đầu.”

Bài đăng của BSC cũng đề xuất theo dõi thời gian thực được chuẩn bị để tạm dừng giao thức khi có dấu hiệu sự cố đầu tiên, tạo kế hoạch dự phòng cho trường hợp xấu nhất và thiết lập tiền thưởng lỗi (bug bounties).

Kết luận

Bài viết trên đã cung cấp thông tin về việc Bunny bị tấn công như thế nào, kinh nghiệm và cách xử lý của họ khi bị tấn công. Bài viết này được thiết kế để được sử dụng và chỉ được sử dụng cho mục đích thông tin. Điều quan trọng là bạn phải tự nghiên cứu kỹ trước khi đầu tư vào tiền điện tử. Bài viết này không nhằm mục đích và sẽ không được hiểu là lời khuyên tài chính.

Nội dung được dịch và biên tập lại từ CoinMarketCap. Trong quá trình dịch không tránh được các sai sót khi biên dịch các thuật ngữ chuyên môn. Bạn có thể đọc bài viết gốc tại đây. Cảm ơn các bạn đã ủng hộ tiendientu.com.

Nếu có bất kỳ câu hỏi và chia sẻ, hãy để lại bình luận bên dưới và đừng ngại tham gia X100 Coin Group để được thảo luận, trao đổi cùng các admin và nhiều member khác nhé!

Đừng quên theo dõi thường xuyên trang tiendientu.com – Nơi cung cấp và cập nhật các thông tin chi tiết liên quan về tiền điện tử nhanh nhất.

Nguồn: CoinMarketCap

Trả lời

Email của bạn sẽ không được hiển thị công khai.