Lỗ hổng Cầu Alephium Buộc Rút Ròng Lượng Thanh Khoản Cảnh báo

Alephium đã cảnh báo các nhà cung cấp thanh khoản rút khỏi các pool ALPH sau khi một lỗ hổng rút khoảng 815.000 đô la từ Cầu Token của nó trên Ethereum và BNB Chain

Nội dung: Các hacker rút sạch nhiều tài sản cầu nốiAlephium tranh cãi về báo cáo chìa khóa GuardianCác nhà cung cấp thanh khoản được khuyên rút khỏi các poolKẻ tấn công đã tạo ra 13,76 triệu ALPH đã được đóng gói thông qua hoạt động cầu nối trái phép, trong khi nhiều tài sản lớn cũng rời khỏi hợp đồng quản lý. Nhóm đã đóng cửa cầu nối và cho biết công tác khôi phục là ưu tiên hàng đầu hiện nay.

Các hacker rút sạch nhiều tài sản cầu nối

Sự cố ảnh hưởng đến USDT, USDC, WETH, WBTC, và WBNB trên Ethereum và BNB Chain. Báo cáo an ninh ban đầu từ Blockaid cho biết kẻ tấn công đã kiểm soát ba trong bốn chìa khóa guardian và sử dụng các Phê duyệt hành động đã được xác minh giả mạo để ủy quyền chuyển khoản.

Blockaid cho biết hoạt động này kéo dài khoảng bảy phút. Trong thời gian đó, kẻ tấn công đã tạo ra nhiều ALPH đã được đóng gói hơn lượng cung trước đó và mở khóa các tài sản khác khỏi quản lý cầu nối.

Nhà phân tích chuỗi Specter báo cáo rằng cả hợp đồng cầu nối Ethereum và BNB Chain đều bị tấn công. Nhà phân tích cũng nói rằng số tiền bị đánh cắp đã chuyển từ BNB Chain sang Ethereum, và một phần số tiền thu được sau đó đã vào Tornado Cash.

Alephium tranh cãi về báo cáo chìa khóa Guardian

Sau đó, Alephium đã phản bác đánh giá ban đầu và nói rằng lỗ hổng không xuất phát từ việc mất chìa khóa guardian. Dự án cho biết sự cố đến từ một lỗ hổng ngoài chuỗi trong phần backend của cầu nối, xuất hiện trong các trường hợp đặc biệt.

Nhóm cũng cung cấp phân tích về số tiền bị rút. Họ nói rằng kẻ tấn công đã lấy đi 200.967 USDT, 17.594 USDC, 5.18 WETH, và 0.335 WBTC từ Ethereum. Trên BNB Chain, các khoản mất gồm 36.750 USDT và 24.386 WBNB.

Alephium cho biết nhóm kỹ thuật của họ đang tập trung vào khắc phục, phục hồi và giao tiếp thêm. Dự án cũng hứa sẽ cập nhật thêm trong tuần tới khi tiến hành xử lý thiệt hại.

Các nhà cung cấp thanh khoản được khuyên rút khỏi các pool

Alephium khuyên người dùng không nên thêm thanh khoản vào các pool ALPH trên Uniswap hoặc PancakeSwap. Nó cũng yêu cầu các nhà cung cấp thanh khoản hiện tại rút tiền và tránh hoán đổi trong các pool bị ảnh hưởng.

Cảnh báo này xuất phát từ việc kẻ tấn công không thể đổi lấy ALPH đã đóng gói trái phép qua cầu khi cầu nối vẫn ngoại tuyến. Tuy nhiên, thêm thanh khoản hoặc hoạt động giao dịch có thể giúp kẻ tấn công biến các token đó thành giá trị.

ALPH gần đây được giao dịch ở mức 0,037 đô la, trong khi giá trị thị trường của nó đứng trên 5 triệu đô la. Dữ liệu của DefiLlama cho thấy tổng giá trị bị khóa khoảng 756.000 đô la trong các giao thức DeFi của Alephium và hơn 308.000 đô la trong giá trị cầu nối.

Cuộc tấn công này làm gia tăng áp lực trong một tháng khó khăn cho các cầu nối chuỗi chéo. Gravity Bridge mất 5,4 triệu đô la vào ngày 30 tháng 5, Verus-Ethereum mất khoảng 11,5 triệu đô la vào ngày 18 tháng 5, và THORChain đối mặt với một cuộc tấn công phối hợp trị giá 10 triệu đô la vào ngày 15 tháng 5. Những sự cố này đã làm gia tăng sự chú ý đến an ninh cầu nối khi các hacker tiếp tục nhắm vào các hệ thống chuyển tài sản qua các chuỗi và mạng lưới riêng biệt.