Hashflow (HFT) bị hack vì lỗ hổng xác thực giao dịch
Theo thông báo trên Twitter, Hashflow không xác nhận rõ ràng về việc bị tấn công. Tuy nhiên, dự án tiết lộ khoảng 600,000 USD tài sản của các nhà đầu tư bị ảnh hưởng do sự cố này. Hiện phía Hashflow đang tìm cách khắc phục vấn đề gặp phải và cam kết bồi thường thiệt hại cho người dùng.
We’re addressing the current situation flagged by @peckshield. Please be assured that:
— hashflow (@hashflow) June 14, 2023
1. All users comprising the ~$600K affected will be made whole.
2. The Hashflow DEX was in no way impacted and remains fully operational.
We will share a detailed post mortem once complete.
Bên cạnh đó, Hashflow khẳng định sàn giao dịch phi tập trung (DEX) của dự án không bị ảnh hưởng từ sự cố và sẽ sớm được kiểm định lại hệ thống bảo mật.
Hashflow là giao thức hỗ trợ người dùng giao dịch nhiều loại token. Đồng thời, đây cũng cầu nối cross-chain không giới hạn với ưu điểm về tốc độ xử lý nhanh, MEV-resistance và phí gas cực thấp.
Ban đầu, vụ việc được phát hiện bởi PeckShield - công ty bảo mật blockchain hàng đầu trong thị trường tiền mã hoá. Thông báo của PeckShield vào ngày 14/6 cho biết có khả năng Hashflow đang bị tấn công từ lỗ hổng trong quá trình xác thực giao dịch.
Hi @hashflow, you may want to take a look: https://t.co/Z0thwhoLSJ
— PeckShield Inc. (@peckshield) June 14, 2023
It appears there is an approve-related issue.
Công ty này tiết lộ khoảng 215,000 USD ETH và 195,000 USD ARB đã bị đánh cắp với tổng số tiền là 410,000 USD. Đến ngày 15/6, PeckShield cho rằng đây có thể là vụ tấn công từ hacker mũ trắng. Nền tảng này dự đoán đây là hợp đồng thông minh của hacker với chức năng khôi phục.
It seems to be white-hat op on the following exploits @hashflow
— PeckShield Inc. (@peckshield) June 14, 2023
eth: https://t.co/9mp3NPV5ZR
arb: https://t.co/vCfvuKnreK
bsc: https://t.co/6SxrLHDO4i
polygon: https://t.co/ZrWHfQD1p8
avanlanche:https://t.co/fNXcQWQ4GF https://t.co/fJPoShmgSM pic.twitter.com/wnYfVyXQta
Theo đó, phía Hashflow đã xác nhận hợp đồng khôi phục của hacker dựa trên hướng dẫn riêng của dự án. Những hướng dẫn này yêu cầu người dùng thu hồi các khoản dư token được sử dụng cho giao dịch đã kết thúc.
If you were not impacted but used Hashflow prior to May 3, 2022, be sure to revoke any allowances from deprecated contracts ASAP.
— hashflow (@hashflow) June 14, 2023
Instructions here: https://t.co/LvHx4z6UY9
Ngoài ra, dự án cũng nhấn mạnh hợp đồng của hacker cho phép người dùng thu hồi lại toàn bộ số tiền của họ hoặc quyên góp 10% khoản tiền đó trả thưởng cho hacker mũ trắng. Hiện ước tính về khoản thiệt hại đã tăng lên so với mức công khai ban đầu. Hashflow cũng cho biết kẻ tấn công đã đánh cắp tài sản trên các blockchain bao gồm Avalanche, BNB Chain và Polygon.
Đọc thêm: EigenLayer ra mắt giao thức restaking đầu tiên trên Ethereum