Một hợp đồng thông minh độc hại trên chuỗi Arbitrum đã gây ra khoản lỗ ước tính 2,7 triệu đô la. Phân tích ban đầu cho thấy các token SUN đã được đúc ngoài lịch trình thông thường của chúng.

Một kẻ tấn công đã triển khai một hợp đồng thông minh độc hại lên chuỗi Arbitrum, ảnh hưởng đến các token Sun (SUN). Cuộc tấn công đã tạo ra nhiều SUN hơn từ không khí, dẫn đến các khoản lỗ tiềm năng lên đến 2,8 triệu đô la. Cuộc tấn công xảy ra sau khi hợp đồng thông minh quản lý được nâng cấp trong một giao dịch duy nhất, và sau đó các quỹ đã được hoán đổi trong các khối tiếp theo. Kẻ tấn công đã sử dụng cầu Across để tài trợ cho ví ban đầu từ Ethereum.

Các token đã được hoán đổi ngay lập tức, cho phép kẻ tấn công khóa lại lợi nhuận ngay lập tức. Kẻ tấn công đã đúc tổng cộng 200T SUN mỗi loại, sau đó hoán đổi chúng lấy USDT gần như ngay lập tức. Các giao dịch đã được hiển thị qua trang token SUN và xảy ra vài giờ trước khi được phát hiện.

Các token SUN đã được đúc và hoán đổi trong hai giao dịch, khiến tài sản giảm về không. | Nguồn: Nansen

Một trong những giao dịch hoán đổi có giá trị hơn 2,1 triệu USDT, trong khi phần còn lại của các token SUN được hoán đổi lấy WETH, dẫn đến khoản lỗ khác là 750K đô la.

Mạng lưới Arbitrum không bị ảnh hưởng. Cuộc tấn công gần đây xảy ra chỉ vài ngày sau khi một hợp đồng thông minh dễ bị tấn công khác bị rút mất 93K đô la token qua một chức năng bị lỗi.

CẢNH BÁO! Hệ thống của chúng tôi đã phát hiện các giao dịch tấn công nhằm vào hợp đồng của @RamsesExchange trên #Arbitrum, dẫn đến khoản lỗ khoảng 93K đô la. Chúng tôi đã liên hệ với đội ngũ, và họ đã thông báo rằng các hành động đã được thực hiện.

Nguyên nhân gốc rễ dường như là một đầu vào chưa được xác minh trong… pic.twitter.com/I4KsHblIrC

— BlockSec Phalcon (@Phalcon_xyz) ngày 24 tháng 10 năm 2024

Người dùng Arbitrum cũng bị ảnh hưởng bởi cuộc tấn công Radiant Capital gần đây, dẫn đến khoản lỗ 50 triệu đô la. Người dùng của Radiant Capital vẫn bị ảnh hưởng nếu họ có quyền phê duyệt ví hoạt động cho giao thức.

SUN giảm giá do sàn giao dịch chính của nó bị rút cạn

Token SUN tương đối không hoạt động và hợp đồng thông minh không chỉ đến DEX nào được biết đến. SUN xuất hiện lần đầu vào khoảng ngày 17 tháng 9, với nguồn cung thanh khoản hạn chế. Token này đã tăng dần sau khi ra mắt, từ 7 đô la lên 10 đô la trong những tuần trước cuộc tấn công. Mục tiêu chính của token là phục vụ như một nơi lưu giữ giá trị và tài sản thế chấp cho tài chính phi tập trung.

Các token SUN đã giảm về không sau khi bị khai thác từ một hợp đồng thông minh trên Arbitrum. | Nguồn: DEXScreener

Cuộc tấn công vào token dẫn đến việc mất toàn bộ giá trị danh nghĩa. Trên thực tế, giao dịch khai thác chiếm gần như toàn bộ khối lượng giao dịch của SUN cho đến nay, đạt tổng cộng 2,2 triệu đô la.

Hơn 94% tổng số SUN được giữ trong một ví duy nhất, cho thấy dự án vẫn chưa hoạt động đầy đủ. Ví này được gán nhãn là SunRay LP hoặc nhà cung cấp thanh khoản trên Sunray DEX.

Hơn 19,9K địa chỉ đã giữ token SUN trước cuộc tấn công, mặc dù hầu hết vẫn được kiểm soát bởi một thực thể duy nhất. Không có địa chỉ nào bị ảnh hưởng trực tiếp, vì kẻ tấn công đã bán một nguồn cung mới được đúc.

Một tài khoản X liên kết với Sunray DEX đã tiết lộ hoạt động đáng ngờ xuất phát từ kho bạc của nó. Sunray DEX cho biết SUN và ARCTokens đã chảy ra khỏi kho bạc của nó và đội ngũ đang cố gắng thu hồi. Tuy nhiên, điều này có thể là không thể do các token đã được hoán đổi lấy USDT, có thể được di chuyển hoặc giao dịch lại.

🌇Xin chào, người dùng sunray toàn cầu,

🌈Về việc chuyển giao tài sản kho bạc SUN và ARCToken vào buổi trưa hôm nay, chúng tôi hiện đang làm việc chăm chỉ để phục hồi nó. Đừng lo lắng, tất cả tài sản của người dùng đều có sẵn trên chuỗi. Tôi tin rằng SUNRAY sẽ trở nên ngày càng phổ biến trong tương lai pic.twitter.com/wmQo9W1q0L

— SUNRAY·FINANCE (@SUNRAY_DEX) ngày 30 tháng 10 năm 2024

Sunray DEX là một nỗ lực mới trong việc xây dựng một thị trường dựa trên blockchain trên Arbitrum. DEX này được tạo ra với sự tham gia của SoftBank, mặc dù dự án không được liệt kê trên trang danh mục đầu tư của nó. Tài khoản X của Sunray DEX cũng đã giao tiếp theo cách đơn lẻ nó như một người ngoài cuộc tiền điện tử, mất nhiều thời gian để ra mắt trong một môi trường năng động nơi các token và DEX mới tích lũy hoạt động nhanh hơn nhiều.

Sunray DEX có một trang đích, nhưng hầu hết các tính năng của nó vẫn không hoạt động. Giao thức Sunray Finance hứa hẹn một thu nhập thụ động cực kỳ cao là 299% cho SUN, với sự bổ sung của token quản trị ARC.

Cả Sunray Finance và Sunray Swap đều không báo cáo về một cuộc tấn công qua các kênh của họ. Cuộc điều tra đang diễn ra, vì token SUN nội địa hiện thực sự không có giá trị. Sunray Finance tuyên bố rằng các hợp đồng thông minh của họ đã được kiểm toán, nhưng mạng xã hội của dự án cho thấy nó không chuẩn bị đủ cho những thách thức và cuộc tấn công DEX và Web3 gần đây.

Cuộc tấn công gần đây tương đối nhỏ so với các cuộc tấn công DEX khác. Tuy nhiên, nó có thể chỉ ra một khoản lỗ khác về phía SoftBank, nếu thực sự nó là nhà tài trợ chính của Sunray Finance. DEX này không có trang đích riêng và chỉ dẫn đến SoftBank. Quỹ đầu tư Nhật Bản đã hỗ trợ nhiều dự án tiền điện tử, một số trong số đó thành công, nhưng những dự án khác, như FTX, đã chịu tổn thất lớn.