Polter Finance, một nền tảng cho vay phi tập trung, đã phải ngừng hoạt động sau khi bị tấn công, khiến gần như toàn bộ tài sản trên nền tảng này bị đánh cắp. Tổng thiệt hại ước tính lên đến 16,1 triệu đô la Singapore (tương đương 12 triệu USD), theo báo cáo của đội ngũ sáng lập.



Chi tiết sự cố:



1. Cách thức tấn công:


• Hacker đã khai thác lỗ hổng trong cơ chế định giá token BOO của Polter Finance, một loại tài sản được giao dịch trên nền tảng SpookySwap.


• Thông qua Oracle Manipulation (tấn công thao túng giá thông qua Oracle), kẻ tấn công sử dụng flash loan (khoản vay nhanh) để thổi phồng giá token BOO, sau đó thực hiện các giao dịch rút một lượng lớn tài sản từ nền tảng.


2. Hành trình tấn công:


• Kẻ tấn công ban đầu dùng Tornado Cash, một công cụ trộn coin trên Ethereum, để che giấu nguồn gốc số tiền.


• Sau đó, tiền được bridge sang mạng Fantom, nơi lỗ hổng bảo mật trong smart contract được khai thác.


3. Thiệt hại:


• Theo báo cáo, hacker đã rút hơn 7-12 triệu USD, làm cạn kiệt TVL (Tổng giá trị khóa) của Polter Finance từ mức 9,7 triệu USD trước vụ hack.


• Nhà sáng lập ẩn danh của Polter, Whichghost, cũng chịu tổn thất cá nhân khoảng 223.219 USD.


4. Hành động từ Polter Finance:


• Nền tảng đã tạm dừng hoạt động để kiểm soát thiệt hại và thông báo đến các nhà cung cấp bridge.


• Polter đã gửi thông điệp on-chain đến hacker, đề nghị thương lượng trả lại tiền mà không truy cứu pháp lý.


• Đồng thời, họ đang hợp tác với SEAL-ISAC để truy tìm dấu vết của kẻ tấn công.



Nguyên nhân gốc rễ:



• Theo công ty kiểm toán bảo mật QuillAudits, vấn đề nằm ở cách Polter Finance tính toán giá token BOO dựa trên tỷ lệ token trong các cặp thanh khoản trên SpookySwap (v3 và v2).


• Điều này tạo điều kiện cho kẻ tấn công sử dụng flash loan để tăng giá BOO và rút tài sản với giá trị lớn hơn gấp nhiều lần giá trị thực tế.



Tác động và bài học:



1. Tác động ngành crypto:


• Vụ hack này là một ví dụ điển hình của lỗ hổng bảo mật trong các nền tảng DeFi. Theo báo cáo từ Certik, tổng thiệt hại từ các vụ hack trong ngành crypto đã vượt 2 tỷ USD trong năm 2024, với hơn 44 sự cố liên quan đến lỗi code.


2. Bài học:


• Việc sử dụng Oracle không an toàn có thể dẫn đến những lỗ hổng nghiêm trọng. Các dự án cần thực hiện kiểm toán bảo mật nghiêm ngặt và tối ưu hóa smart contract trước khi triển khai.



Kết luận:



Vụ hack Polter Finance không chỉ là bài học cảnh giác cho các nhà phát triển blockchain mà còn cảnh báo nhà đầu tư cần thận trọng khi tham gia vào các nền tảng DeFi chưa được kiểm tra kỹ lưỡng.