Stars Arena bị hacker rút cạn gần 3 triệu USD
Cụ thể, giao thức đã mất sạch 266,201 AVAX (tương đương gần 3 triệu USD) bị khóa trong hợp đồng thông minh của dự án. Ngoài ra, theo dữ liệu DefiLlama, hiện TVL của Stars Arena đã giảm xuống còn 0.0049 USD.
Trên kênh Twitter, Stars Arena đã xác nhận bị tấn công DDoS (Tấn công từ chối dịch vụ). Trong các sự cố DDoS, kẻ tấn công tấn công máy chủ dự án bằng lưu lượng truy cập từ nhiều hệ thống khác nhau. Mục tiêu là khiến máy chủ bị đánh sập hoặc gián đoạn dịch vụ. Những kẻ tấn công sau khi chiếm quyền kiểm soát nền tảng sẽ gửi dữ liệu hoặc yêu cầu xấu vào hệ thống, từ đó trục lợi dự án.
Mặt khác, nhà phân tích PeckShield nhận định hacker đã tấn công Stars Arena theo phương thức reentrancy attack và bán lại ticket với giá cao, lên tới 2,720 USD mỗi vé.
Reentrancy attack cho phép thủ phạm rút tiền trong hợp đồng bằng cách liên tục yêu cầu chức năng rút tiền trước khi hợp đồng cập nhật số dư. Hình thức tấn công này thường được sử dụng để khai thác các giao thức DeFi. Cuối tháng 7, sàn giao dịch Curve Finance cũng từng bị reentrancy attack, khiến TVL giảm hơn 1 tỷ USD.
Stars Arena cảnh báo người dùng không nên gửi bất kỳ khoản tiền nào trên nền tảng. Hiện AVAX đã giảm hơn 2% và đang giao dịch ở mức 10.52 USD.
Nền tảng truyền thông xã hội Web3 Stars Arena ra mắt vào cuối tháng 9, lấy cảm hứng từ dự án đình đám Friend.tech. Chỉ sau 2 tuần ra mắt, TVL của Stars Arena đã vượt mốc 1 triệu USD. Nhờ đó, lượng giao dịch trên Avalanche tăng vọt từ 158,000 USD vào ngày 20/9 lên 250,000 USD vào ngày 3/10.
Trước đó, tối 5/10, nhà phân tích @0xlilitch trên X (Twitter) tiết lộ họ đã tìm thấy lỗ hổng trong ứng dụng Stars Arena. Điểm yếu này có thể ảnh hưởng đến 1 triệu USD TVL trong hợp đồng thông minh của giao thức.
Theo chuyên gia, thông qua lỗi trong hàm getPrice(), các hacker có thể xâm nhập hợp đồng và chuyển tiền vào ví của kẻ gian. Dù vậy, hacker phải thực hiện hợp đồng nhiều lần và tốn rất nhiều phí giao dịch để có thể rút hết tiền nên phương thức tấn công trên không khả khi.
Cụ thể, khi người dùng bán share, họ sẽ nhận được 0.03 USD. Tuy nhiên, họ phải mất khoảng 0.15 USD để thực hiện giao dịch đó. Như vậy, nếu muốn bòn rút hết số tiền 1 triệu USD trong hợp đồng, kẻ gian phải trả 5 triệu USD phí gas.