Clipper, một sàn giao dịch phi tập trung (DEX), đã tiết lộ rằng lỗ hổng trong chức năng rút tiền của sàn đã dẫn đến vụ hack 450.000 đô la gần đây.

Trong một tuyên bố ngày 1 tháng 12 trên X, giao thức đã làm rõ rằng trái ngược với những tuyên bố trước đó của bên thứ ba, lỗ hổng này không phải do rò rỉ khóa riêng mà là do lỗi thiết kế trong quy trình rút tiền.

Hack nhắm vào hai nhóm thanh khoản

Vụ vi phạm xảy ra vào ngày 1 tháng 12 đã ảnh hưởng đến hai nhóm thanh khoản của Clipper, chiếm 6% tổng giá trị bị khóa (TVL) của sàn giao dịch. Clipper đảm bảo với người dùng rằng không có nhóm nào khác bị ảnh hưởng và lỗ hổng đã được giải quyết.

“Đã có những tuyên bố từ bên thứ ba gợi ý về khả năng rò rỉ khóa riêng,” Clipper cho biết. “Chúng tôi có thể xác nhận rằng điều này không đúng và không nhất quán với thiết kế và kiến trúc bảo mật của Clipper.”

Lỗ hổng này liên quan đến khả năng rút tiền dưới dạng một mã thông báo duy nhất, được mô tả là “giao dịch hoán đổi + nạp/rút tiền gộp lại.” Tính năng này đã bị vô hiệu hóa như một biện pháp phòng ngừa.

Sự cố này được phát hiện sau khi Chaofan Shou, đồng sáng lập công ty bảo mật Fuzzland, gợi ý trên X rằng cuộc tấn công có thể xuất phát từ lỗ hổng API, cho phép kẻ tấn công ký các yêu cầu nạp và rút tiền một cách gian lận. Clipper đã bác bỏ những tuyên bố này nhưng thừa nhận cần có một cuộc điều tra kỹ lưỡng.

Giao thức hành động giữa sự gia tăng các vụ trộm tiền điện tử

Trong bối cảnh cuộc tấn công, Clipper đã tạm ngừng các giao dịch hoán đổi và nạp tiền trong khi vẫn mở rút tiền, mặc dù với các điều kiện nghiêm ngặt hơn. Người dùng chỉ có thể rút tiền trong một hỗn hợp tài sản từ các pool bị ảnh hưởng. Giao thức đang tích cực truy tìm số tiền bị đánh cắp và đã đưa ra một cành ô liu cho kẻ tấn công, mời họ bắt đầu liên lạc để có thể thương lượng.

Lỗ hổng này gia tăng con số đáng lo ngại với hơn 1,48 tỷ USD tiền điện tử bị đánh cắp trên toàn cầu trong năm 2024, theo một báo cáo gần đây của Immunefi. Mặc dù con số này giảm 15% so với cùng kỳ năm ngoái, nhưng nó làm nổi bật những lỗ hổng dai dẳng đang ám ảnh lĩnh vực DeFi.

Shipyard Software Inc., nhà sáng tạo của Clipper, vẫn chưa đưa ra thêm tuyên bố nào liên quan đến sự cố này. Đối với Clipper và người dùng của nó, cuộc tấn công là một lời nhắc nhở rõ ràng về tầm quan trọng của các giao thức bảo mật vững chắc trong việc bảo vệ các nền tảng phi tập trung.

Cuộc tấn công Clipper DEX phơi bày lỗ hổng 450.000 USD, đội ngũ loại trừ khả năng rò rỉ khóa riêng đã xuất hiện đầu tiên trên TheCoinrise.com.