$145K Mất mát khi Hacker sử dụng Merkl để khởi động các trò lừa đảo DeFi chưa được xác minh

Hacker đã tìm ra một cách mới để khai thác tài chính phi tập trung (DeFi) người dùng. Lần này, họ đã sử dụng Merkl, một nền tảng khuyến khích DeFi một cửa, để tạo ra các chiến dịch giả mạo, không được xác minh và rút tiền nạp của người dùng. Chiêu trò lừa đảo đã nhắm vào người dùng trên Sonic thông qua giao thức Euler. Nó đã gây ra thiệt hại hơn 145.000 đô la.

Hacker Tạo Chiến Dịch Lợi Suất Cao Giả

Theo người dùng DeFi YAM, một kẻ xấu đã lợi dụng thiết lập mở của Merkl để tạo ra các chiến dịch giả mạo. Điều đó dường như đã cung cấp lợi suất APR ba chữ số. Kẻ lừa đảo đã mời gọi người dùng nạp tiền USDC vào một cái mà trông giống như một kho Euler hợp pháp trên Sonic. Tuy nhiên, ngay khi người dùng nạp tiền của họ, kẻ tấn công đã rút sạch chúng.

Vì Euler Finance là một giao thức không cần sự cho phép, bất kỳ ai cũng có thể triển khai thị trường mà không cần phê duyệt. Kẻ tấn công đã sử dụng tính năng này để phát động một thị trường giả. Sử dụng một token gọi là scUSD làm tài sản thế chấp và USDC làm nợ. Sau đó, họ đã thao túng giá oracle, một nguồn dữ liệu quan trọng được sử dụng trong DeFi, đặt nó ở mức vô lý $1 triệu cho mỗi token. Điều này cho phép họ vay 700,000 USDC dựa trên một scUSD. Điều này thực sự mang lại cho họ quyền kiểm soát hoàn toàn quỹ của kho lưu trữ.

Cách mà lừa đảo hoạt động

Khi thị trường giả được kích hoạt, kẻ tấn công đã khởi động một chiến dịch không được xác minh trên Merkl. Hắn đang quảng bá lợi suất cực kỳ cao để thu hút nạp tiền. Người dùng nào nạp USDC vào chiến dịch đã bị vay tiền của họ, hoán đổi thành ETH. Sau đó, chuyển đến Dự án RAILGUN, một giao thức bảo mật thường được sử dụng để ẩn các giao dịch.

Dữ liệu trên chuỗi cho thấy địa chỉ ví của nhà điều hành chính là 0x8ba913e…, với các quỹ cuối cùng được gửi đến 0xa86399… trước khi biến mất vào RAILGUN. Thú vị là, một người dùng, được xác định là 0xc0f8fe… đã rút nạp tiền của họ trước khi kẻ tấn công rút sạch. Có lẽ vì Hacker không theo dõi kho tiền một cách chủ động.

Phản ứng từ cộng đồng DeFi

Sau khi phát hiện, YAM đã kêu gọi người dùng thận trọng khi tương tác với các chiến dịch Merkl không được xác minh. Họ cũng kêu gọi đội ngũ của Merkl làm cho việc nạp tiền vào những chiến dịch như vậy trở nên khó khăn hơn bằng cách thêm các cảnh báo bật lên mạnh mẽ hơn.

Michael Bentley, đồng sáng lập và CEO của Euler Labs, đã phản hồi bằng cách xác nhận. Rằng kho tiền liên quan rõ ràng được đánh dấu là chưa xác minh và được gán nhãn là rủi ro bảo mật. Ông lưu ý rằng trang web của Euler chỉ cho phép truy cập vào các kho tiền chưa xác minh sau khi người dùng thủ công bật một tùy chọn thừa nhận rủi ro. “Chúng tôi hiện đang chặn vĩnh viễn tất cả các liên kết tới kho tiền cụ thể này để ngăn chặn việc sử dụng thêm,” Bentley nói thêm.

Các thành viên trong cộng đồng cũng đã đặt câu hỏi về cách người dùng DeFi có thể xác minh liệu oracle của thị trường có hợp pháp hay không. YAM giải thích rằng các oracle cung cấp dữ liệu giá thực tế cho các ứng dụng DeFi. Chúng thường được kiểm soát bởi các người quản lý của thị trường và phải được thiết lập cẩn thận. Một sai sót nhỏ, chẳng hạn như một chữ số thập phân không chính xác hoặc một multisig không an toàn, có thể mở ra những lỗ hổng lớn như cái này.

Kêu gọi các biện pháp bảo vệ mạnh mẽ hơn

Sự cố này làm nổi bật một vấn đề thường gặp trong DeFi. Sự cân bằng giữa đổi mới không cần sự cho phép và an toàn của người dùng. Các nền tảng như Merkl và Euler cho phép bất kỳ ai tạo ra hoặc tham gia vào các thị trường một cách tự do. Nhưng sự cởi mở đó cũng cho phép những kẻ tấn công có không gian để hành động. Trong khi các dự án đánh dấu rõ ràng các chiến dịch chưa được xác minh. Số lượng lừa đảo ngày càng tăng cho thấy rằng chỉ cảnh báo một mình có thể không đủ.

Người dùng hiện đang kêu gọi nhiều sự rào cản hơn, chẳng hạn như kiểm tra xác minh bắt buộc hoặc xác nhận thêm, để bảo vệ tiền nạp. Hiện tại, các chuyên gia đang khuyên người dùng chỉ tương tác với các chiến dịch đã được xác minh và kiểm tra kỹ lưỡng chi tiết hợp đồng trước khi nạp tiền. Cuộc tấn công trị giá $145,000 là một lời nhắc nhở khác rằng ngay cả trong thế giới mở của DeFi, sự cẩn trọng là biện pháp phòng ngừa tốt nhất.