Hackers lợi dụng lỗ hổng contract để chiếm đoạt 13 triệt USD từ QiDAO
Giao thức DeFi QiDAO trên Polygon, một giao thức cho phép người dùng vay stablecoin với lãi suất 0% so với số tiền họ nắm giữ, đã trở thành nạn nhân của một vụ exploit các vesting contract Superfluid vào thứ Ba, dẫn đến khoản tiền bị mất khoảng 13 triệu đô la.
QiDAO thừa nhận việc khai thác thông qua Twitter; tuy nhiên, nhóm nghiên cứu nhấn mạnh rằng hợp đồng vesting contract đã bị khai thác thông qua một lỗ hổng trên Superfluid, một nền tảng framework hợp đồng thông minh trên Ethereum cho phép người dùng chuyển tài sản on-chain thay vì trên chính QiDAO.
Năm ngoái, Superfluid đã huy động được 9 triệu đô la trong vòng hạt giống từ một nhóm các nhà đầu tư tư nhân và các công ty đầu tư mạo hiểm.
Trong khi QiDAO khẳng định rằng tiền của người dùng vẫn an toàn, công ty phân tích tiền điện tử SlowMist ước tính rằng tin tặc đã lấy được số token các loại trị giá hơn 13 triệu đô la, bao gồm QI, WETH, USDC, SDT, MOCA, STACK, sdam3CRV và MATIC.
Giá token QiDAO cắm đầu
Nhóm nghiên cứu tại Superfluid xác nhận rằng họ đã “được thông báo về hoạt động exploit tiềm năng hợp đồng vận chuyển QiDAO sử dụng mã code Superfluid”, đồng thời cho biết thêm rằng họ hiện đang điều tra vụ việc.
Người dùng cũng được khuyến khích “thận trọng và tránh tương tác với các hợp đồng thông minh Superfluid cho đến khi có thông báo mới.”
Sau sự cố, giá của token quản trị QiDAO là Qi đã giảm mạnh hơn 70%, từ 1,24 đô la xuống 0,18 đô la trước khi tăng trở lại lên 0,70 đô la vào thời điểm viết bài.
Việc exploit cũng diễn ra một ngày sau Polygon, một giao thức mở rộng và có khả năng đa tương tác để tạo các blockchain tương thích với Ethereum, đã huy động được 450 triệu đô la trong vòng tài trợ do Sequoia Capital India dẫn đầu.
Token gốc của Polygon, MATIC, đã tăng 6,6% trong ngày và hiện ở mức 1,90 đô la.
Nguồn: decrypt
