Trong một cuộc phỏng vấn độc quyền với crypto.news, hacker mũ trắng có biệt danh là Trust đã chia sẻ những chi tiết quan trọng liên quan đến một vụ hack gần đây lợi dụng lỗ hổng trong hợp đồng RouteProcessor2.

Trust đã có thể tiết kiệm một lượng đáng kể tiền của người dùng bằng cách thực hiện một vụ hack phủ đầu vào ngày 10 tháng 4 đối với số tiền do Sifu nắm giữ, chỉ để trả lại số tiền đó sau khi chuyển chúng đến nơi an toàn.

Thật không may, những kẻ độc hại đã có thể bắt chước cuộc tấn công và khai thác lỗ hổng đối với những người nắm giữ khác.

SushiSwap bị tấn công nâng cao

Trust giải thích rằng hợp đồng RouteProcessor2, được triển khai chỉ bốn ngày trước, được thiết kế để giám sát nhiều loại giao dịch hoán đổi token SushiSwap (SUSHI) khác nhau. Người dùng phê duyệt trước hợp đồng để chi tiêu mã thông báo ERC20 của họ, sau đó gọi hàm swap() để thực hiện hoán đổi.

Tuy nhiên, hợp đồng tương tác với các nhóm UniswapV3 theo cách không an toàn vì nó hoàn toàn tin tưởng vào địa chỉ “nhóm” do người dùng cung cấp.

Việc giám sát cho phép một nhóm xấu cung cấp thông tin sai lệch cho hợp đồng về nguồn và số tiền chuyển khoản, cho phép bất kỳ người dùng nào giả mạo một giao dịch hoán đổi và có quyền truy cập vào toàn bộ số tiền được phê duyệt của người dùng khác.

Bạn cũng có thể quan tâm: Đây là cách các bot MEV trên SushiSwap gây ra khoản lỗ 3,3 triệu USD

Trust tuyên bố rằng lỗ hổng này đáng lẽ phải được phát hiện bởi bất kỳ công ty kiểm toán hợp lý nào, làm dấy lên mối lo ngại về sự trưởng thành của cơ sở mã sản xuất.

Tin tặc cũng đề cập đến sự hiện diện của các bot rất tinh vi sao chép giao dịch tiết kiệm tiền của họ để đánh cắp tài sản, nhấn mạnh vào nguồn tài nguyên và khả năng phong phú của các bot này, được gọi là bot có giá trị có thể trích xuất (MEV) của thợ mỏ.

Trust đã chọn thực hiện vụ tấn công phủ đầu vì nhiều lý do.

Đầu tiên, anh ta đã gửi báo cáo đầy đủ về lỗ hổng một giờ rưỡi trước vụ hack nhưng không nhận được phản hồi.

Thứ hai, anh ấy sợ rằng nhóm phát triển có thể không có mặt vào cuối tuần.

Thứ ba, họ biết hợp đồng không thể sửa được và chỉ có thể bị tấn công hoặc bị thu hồi sự chấp thuận của người dùng.

Cuối cùng, họ ưu tiên lưu một địa chỉ duy nhất nắm giữ phần lớn số tiền đang gặp rủi ro, địa chỉ của Sifu. Trust cũng không lường trước được sự phức tạp của các bot MEV trong tình huống này.

Trước những tiết lộ này, điều quan trọng là cộng đồng tiền điện tử phải đánh giá lại các biện pháp bảo mật và ưu tiên kiểm tra kỹ lưỡng các hợp đồng thông minh để ngăn chặn việc khai thác những lỗ hổng như vậy.

Hành động của Trust thể hiện tầm quan trọng của tin tặc mũ trắng trong hệ sinh thái, hoạt động để bảo vệ tiền của người dùng và cải thiện tính bảo mật tổng thể.

Bạn cũng có thể quan tâm: Giao thức DeFi Euler Finance bị hack 197 triệu USD