Hacker kiếm hàng nghìn USD từ memecoin "chết"
Hacker đã sử dụng tính năng flash loan của giao thức Balancer để vay một số tiền lớn. Flash loan cho phép nhà đầu tư vay tiền không cần tài sản thế chấp, nhưng phải trả lại số tiền đã vay trong khoảng thời gian đủ để hoàn thành một giao dịch.
Sau khi vay tiền, kẻ tấn công chuyển các khoản tiền đó vào một số pool token nhất định. Khi khối lượng tài sản trong pool tăng lên, kẻ tấn công sẽ rút toàn bộ thanh khoản còn lại khỏi nhóm và trả lại số tiền họ đã vay flash loan.
Những cuộc tấn công như vậy lần đầu được phát hiện bởi Giorgi Khazarade, CEO nền tảng DeFi Aurox. Lúc bấy giờ, ông đang thử nghiệm để tìm lỗi và nhận thấy dữ liệu trong chức năng sàng lọc của Aurox không nhất quán. Ông cho hay token CATOSHI có khối lượng gần 2 triệu USD nhưng thanh khoản chỉ ở mức 0 USD.
"Chuyện này rất kỳ lạ. Tôi nghĩ dữ liệu bị lỗi nhưng khi xem xét kỹ hơn, tôi thấy số liệu thống kê mà nền tảng của chúng tôi hiển thị là chính xác”, Khazarade nói với Blockworks.
Trong vụ rút pool thanh khoản CATOSHI, hacker đã vay 184 triệu USD dưới dạng wETH thông qua dịch vụ flash loan. Sau đó, người này sử dụng khoảng 1 triệu USD để mua token CATOSHI. Theo sách trắng xuất bản năm 2022, CATOSHI ban đầu ra mắt trên Ethereum với nguồn cung 21 triệu token. Số token này sau đó đã bị đốt còn 11 triệu.
Mỗi khi CATOSHI được giao dịch, 3% số token được phân phối lại cho người nắm giữ, 2% bị đốt và 1% được chuyển đến ví từ thiện. Điều này nghĩa là chủ sở hữu token sẽ nhận được phần thưởng 3% bất cứ khi nào có người mua hoặc bán CATOSHI.
Ở một vụ tấn công khác, hacker đã mua 166,000 memecoin CATS và chuyển token lên BNB Chain. Số token được bán với giá khoảng 10 BNB, mang lại cho hacker tổng lợi nhuận từ 3,000 đến 4,000 USD. Số tiền còn lại được hoàn trả cho khoản vay flash loan.
Khazarade lưu ý một dự án khác tên IMMORTAN cũng có số phận tương tự. Dù có khối lượng lớn, thanh khoản IMMORTAN chỉ có vài trăm USD. Hacker cũng đã dùng thủ thuật flash loan với IMMORTAN nhiều lần trong tuần qua để rút cạn 2,000-3,000 USD trong pool thanh khoản.
Theo sách trắng IMMORTAN, thuế 10% được áp dụng cho người mua và người bán. 8% số thuế đó được phân phối cho chủ sở hữu và 2% được trao cho nhóm phát triển. Khazarade tiết lộ kẻ tấn công đã cố "bòn rút từng xu" của dự án dù chỉ còn 100 USD thanh khoản.
"Mỗi cuộc tấn công chỉ mang lại khoản lợi nhuận nhỏ. Theo ước tính của tôi, anh ta đã kiếm được tổng cộng 3,000 USD", ông chia sẻ.
CATOSHI và IMMORTAN không phải là những token duy nhất bị rút cạn tiền. Gần đây, Khazarade lưu ý một hacker đã trục lợi 4,000 USD từ CATS v3. Một dự án tên CRAB cũng cũng bị lấy đi 2,000 USD trong pool thanh khoản.
Ngày 11/5, kẻ tấn công đã sử dụng thủ đoạn tương tự lấy gần 30,000 USD thanh khoản của WEEB. "Tôi không chắc chắn 100% nhưng có vẻ như kẻ tấn công thường triển khai các hợp đồng thông minh độc hại nhằm lạm dụng nhiều loại token và làm cạn kiệt thanh khoản của chúng”, Khazarade nói.
Ông cho rằng một số hợp đồng độc hại chỉ tấn công một token, nhưng số khác có thể xâm nhập nhiều token cùng lúc.