Khai thác Token FEG Khiến Người Nắm Giữ Thua Lỗ 99%

Một cuộc khai thác nghi ngờ của “SmartBridge” token Feed Every Gorilla (FEG) đã làm người nắm giữ mất 99% vào Chủ Nhật, sau khi hacker bán số tiền thu được vào thanh khoản hiện có.

Trong một chuỗi sự kiện có vẻ quen thuộc đầy ảm đạm, cuộc tấn công này là cuộc tấn công thứ ba nhắm vào dự án này, sau hai vụ việc riêng biệt vào năm 2022.

Đọc thêm: Các hacker Bắc Triều Tiên bị thanh lý trên HyperLiquid đang lên kế hoạch gì?

Phản ứng của dự án đối với “Giao dịch Bất Thường” đã thừa nhận sự thất vọng của người dùng, điều này cũng được đội ngũ chia sẻ. Dự án ban đầu nghi ngờ “một lỗ hổng trong cầu wormhole, đã từng trải qua kiểm toán” bởi Peckshield (đơn vị này tuyên bố đã xác định được nguyên nhân gốc rễ, nhưng vẫn chưa có bình luận chính thức).

Trong khi đó, công ty bảo mật và kiểm toán tiền điện tử BlockSec đã tiến hành phân tích riêng về cuộc tấn công, phát hiện rằng “chỉ có relayer mới có thể đăng ký rút tiền trong SmartBridge. Tuy nhiên, khi nhận một cầu wormhole
Tin nhắn, người chuyển tiếp không kiểm tra xem địa chỉ nguồn có được phép kích hoạt việc đăng ký rút tiền hay không.”

Tin tặc sau đó đã có thể tạo ra một tin nhắn cầu nối độc hại trên một chuỗi, rút tiền FEG một cách gian lận với số lượng lớn trên chuỗi đích, và hoán đổi nó cho thanh khoản hiện có. Cả ba bước này đều được thực hiện trên mỗi chuỗi.

Token FEG kết nối các nền tảng ra mắt token “SmartDeFi” của dự án trên ETH, Base và BNB Chain. Theo Cyvers, kẻ tấn công đã thu về hơn 1 triệu đô la từ việc xả token: 96 ETH, 73 ETH và 712 BNB lợi nhuận trên mỗi chuỗi, tương ứng.

Nhiều người đã bày tỏ sự thất vọng và sự không tin tưởng của họ qua X mặc dù các phản hồi về tuyên bố của đội ngũ đã bị vô hiệu hóa. Người dùng đã bình luận về việc mất uy tín, sự thiếu ngạc nhiên, cảm thấy “bị kẹt,” và thậm chí gợi ý rằng các sự kiện có thể là những công việc nội bộ.

Tuy nhiên, một số người đã thể hiện sự ủng hộ, chỉ ra “cách tiếp cận chủ động” của đội ngũ và tìm thấy niềm an ủi trong “tính hữu dụng trong thế giới thực” của FEG, trong khi bác bỏ mối lo ngại về an ninh là
“woke.”

Đây không phải là chuyến rodeo đầu tiên của FEG

Vào tháng 5 năm 2022, dự án đã mất 1,3 triệu đô la do một cuộc tấn công flash loan cũng đã khai thác một vấn đề xác thực dữ liệu để lấy cắp token FEG. Mặc dù “tôn trọng yêu cầu” trả lại số tiền bị đánh cắp, chúng đã được rửa tiền qua Tornado Cash vài ngày sau đó.

Đọc thêm: Dự án DeFi Delta Prime bị hack một lần nữa — vài tháng sau khi lộ khóa riêng

Sau một cú sốc như vậy, FEG đã chọn sử dụng giải pháp bên thứ ba, khóa tính thanh khoản của token với Team Finance để khơi dậy niềm tin rằng tiền của người dùng sẽ được bảo vệ.

Nhưng vào tháng 10 của cùng năm đó, token đã chịu một tổn thất gần 2 triệu đô la khi bốn trong số các khóa tính thanh khoản “bất khả xâm phạm” này đã bị khai thác do một lỗi trong hệ thống di chuyển để chuyển tính thanh khoản từ Uniswap v2 và v3. Sự cố này đã chứng kiến tổng cộng hơn 15 triệu đô la bị mất giữa các đội liên quan, mặc dù hầu hết số tiền sau đó đã được trả lại.