aBNBc遭 Hacker tấn công, hợp đồng nâng cấp sơ suất dẫn đến hàng loạt Token bị phát hành trái phép.

Vào ngày 2 tháng 12, một phòng thí nghiệm đã phát hiện ra thông qua dữ liệu on-chain rằng dự án aBNBc đã bị hacker tấn công, dẫn đến việc phát hành trái phép một lượng lớn aBNBc Token. Hacker đã chuyển đổi một phần Token phát hành thêm tại DEX để lấy BNB, phần còn lại thì được giữ lại trong Ví tiền. Ngoài ra, kẻ tấn công còn sử dụng những Token phát hành trái phép này để thực hiện vay mượn thế chấp, gây thiệt hại cho nền tảng cho vay. Sự cố này đã dẫn đến tình trạng thanh khoản của aBNBc Token thiếu trầm trọng, giá cả giảm mạnh.

Thông qua việc phân tích nhiều dữ liệu giao dịch, các nhà nghiên cứu phát hiện ra rằng mặc dù địa chỉ gọi khác nhau, nhưng đều dẫn đến việc phát hành thêm Token. Cuộc điều tra sâu hơn cho thấy, dự án đã thực hiện nâng cấp hợp đồng trước khi bị tấn công, và trong hợp đồng logic đã được nâng cấp, hàm phát hành thêm thiếu các kiểm tra quyền cần thiết.

Hacker đã gọi hàm cụ thể trong hợp đồng logic thông qua hợp đồng đại lý, do hàm đó không thực hiện xác thực quyền hạn, do đó đã thành công trong việc phát hành trái phép aBNBc Token.

Sau khi bị tấn công, nhóm dự án đã ngay lập tức cập nhật hợp đồng logic, trong phiên bản mới đã thêm cơ chế kiểm tra quyền cho hàm phát hành.

Về hướng dòng tiền, Hacker đã đổi một phần aBNBc phát hành thêm thành BNB và chuyển đi, nhưng một lượng lớn aBNBc vẫn còn tồn đọng trong Ví tiền của họ.

Tổng thể mà nói, cuộc tấn công này chủ yếu xuất phát từ sự sơ suất trong quá trình nâng cấp hợp đồng, tức là hàm phát hành mới trong hợp đồng logic thiếu kiểm tra quyền cần thiết. Hiện tại vẫn chưa rõ đây là do sử dụng mã hợp đồng chưa được kiểm tra và thử nghiệm an toàn, hay là do việc rò rỉ khóa riêng khiến Hacker có thể tự nâng cấp hợp đồng. Dù sao đi nữa, sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc giữ gìn khóa riêng và cụm từ khôi phục ví tiền một cách an toàn, cũng như sự cần thiết của việc thực hiện kiểm tra an toàn toàn diện khi nâng cấp hợp đồng.