Các dự án Restaking đang bị hack, nghi vấn Puffer Finance

Cụm ví EigenLayer và Restaking đang bị tấn công?

Bạn mình vừa nhận thông báo thực hiện trans từ TrustWallet, check ra thì thấy đang tự động gửi token tới một địa chỉ ví, ví này nhận được rất nhiều loại token từ ví nạn nhân như $ETH, $stETH, $pufETH, $USDC,…

Số tiền đổ về và danh sách nạn nhân đang ngày một tăng. 

Địa chỉ ví hacker: 0x09b62072ec844012c100e2ef07c8aa3f48e43a7c

Chân dung các ví nạn nhân:

– Số dư đa dạng, từ $1000-$2000 thậm chí $200.000

– Mỗi ví chỉ bị rút một vài loại token nhất định

– Token bị đánh cắp đôi khi không phải token có số dư lớn nhất

– Những ví bị back phần đông đang là những ví có số dư trên những nền tảng Restaking như:

@eigenlayer

@staderlabs

@puffer_finance

@ether_fi

Tổng số dư hacker lấy được đã lên tới $50,000 và tiếp tục tăng. Update: đã lên $60,000.

Ví bị thiệt hại nặng nhất có thể kể đến là ví 0x17fc3ab3739166583c9be7e3dd3b46ab182b3d37 với 14 $stETH ~ $33.000

Hiện tại mình và bạn mình vẫn chưa phát hiện ra lỗ hổng ở đâu, do thao tác người dùng hay do lỗ hổng protocol, nhưng có vẻ cụm Restaking đang bị tấn công, mọi người check lại ví nhé.

Nạn nhân có những ví đã sử dụng > 1000 – 2000 ngày nên mình nghĩ đây không phải vấn đề đơn giản lỗi người dùng kiểu approve mà không nhìn. Khả năng thủ đoạn rất tinh vi, mình vẫn đang check cùng mấy anh em onchain để tìm manh mối.

KỊCH BẢN MÀ HACKER CÓ THỂ SỬ DỤNG

Đối tượng nghi vấn cao nhất lúc này là những Dapps thuộc mảng LSD, Restaking cụ thể là Puffer Finance.

Thủ đoạn rất tinh vi, khi ký giao dịch không mất fee và cũng không lấy tiền ngay, mà sẽ như bom hẹn giờ, trigger trong tương lai nên rất khó đề phòng.

Tham khảo kịch bản hack mà team mình đặt ra 👇

1️⃣ Hacker chỉnh code front-end (giao diện) của dapps (hacker hoặc dev) để yêu cầu user ký ✍️ 1 message với nonce lớn hơn nonce thực tế hiện tại. Nonce ứng với số lượng giao dịch của ví trên chain. Nôm na là để lấy chữ ký của người dùng cho một giao dịch trong tương lai. Chữ ký 📝sau đó được lưu off-chain (1 đoạn mã hash)

2️⃣Việc ký message này không phải on-chain, nên không phát sinh fee của network (rất khó để ý chỗ này). Việc này tương tự như lúc chúng ta Sign in message khi login một dapp nào đó.

3️⃣ Khi người dùng tiếp tục sử dụng ví, số lượng tx và Nonce tăng dần lên. Tới thời điểm trigger, hacker gửi yêu cầu trao quyền sử dụng token tới contract của token, sau đó lấy chữ ký offchain ném vào request, lúc này về mặt dữ liệu đã khớp, nên giao dịch được thực hiện.

Và Metamask đã phát đi cảnh báo.

GIẢI PHÁP 👨‍🔧

Hiện tại, mình đang thu thập thêm thông tin, nếu đúng như kịch bản, thì sẽ có nhưng cách sau để giải quyết:

1️⃣ Vì nonce không được lệch quá lớn, nên có thể hacker chỉ được phép ký trong vòng 10tx, vì vậy hiện tại tài sản nếu chưa  mất, thì hãy chuyển hết tài sản qua ví khác, chuyển theo thứ tự từ to tới lớn.

2️⃣ Thực hiện tầm 10tx nhỏ để số nonce vượt quá số nonce mà Hacker đang cầm, như vậy sẽ vô hiệu hoá chữ ký của hacker.

Hi vọng mọi người không bị mất tiền, sắp tết rồi 🙏

Lưu ý: Bài viết chỉ cung cấp góc nhìn và không phải là lời khuyên đầu tư.

Giới thiệu token Saigon (SGN):

  • Đầu tư vào các công ty quảng cáo blockchain hàng đầu bằng cách MUA token Saigon (SGN) trên Pancakeswap: https://t.co/KJbk71cFe8 (đừng lo lắng về tính thanh khoản, hãy trở thành nhà đầu tư sớm)
  • Được hỗ trợ bởi Công ty Click Digital
  • Nâng cao kiến thức về blockchain và crypto
  • Lợi nhuận sẽ dùng để mua lại SGN hoặc đốt bớt nguồn cung SGN để đẩy giá SGN tăng.
  • Địa chỉ token trên mạng BSC: 0xa29c5da6673fd66e96065f44da94e351a3e2af65
  • Twitter: https://twitter.com/SaigonSGN135
  • Staking SGN: http://135web.net
5/5 - (1 bình chọn)

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *