Hơn 4,8 triệu USD đã được rút khỏi pool thanh khoản của dự án gamefi Super Sushi Samurai bởi một hacker được cho là mũ trắng.
Dự án GameFi Super Sushi Samurai (SSS), được xây dựng trên blockchain layer-2 Blast và ứng dụng nhắn tin Telegram, đã là nạn nhân của một đợt tấn công và bị rút cạn 4,8 triệu USD vào ngày 21 tháng 3 trong pool thanh khoản của mình bởi một “hacker mũ trắng” khi phát hiện ra một lỗ hổng chi tiêu kép.
Vụ hack ập đến chỉ sau vài giờ dự án công bố airdrop cho người dùng sớm. Trong thông báo tối 21/03, Super Sushi Samurai xác nhận hacker đã lợi dụng lỗ hổng trong chức năng mint của smart contract trước khi bán chúng vào pool thanh khoản SSS.
Công ty phân tích blockchain CertiK nói rằng “lỗ hổng nằm trong chức năng _update() của hợp đồng [SSS], chức năng này không cập nhật chính xác số dư khi chuyển sang ví cá nhân.” Vì vậy, khi người dùng chuyển toàn bộ số dư mã thông báo SSS của họ cho chính họ, số dư thu được sẽ tăng gấp đôi.
CertiK lưu ý rằng trong sự cố, một người dùng với địa chỉ 0x786C8f95C17BB990a040dc4D6539B01FC1b72842, ban đầu đã mua 690 triệu mã thông báo SSS, chuyển toàn bộ số dư cho chính họ, nhân đôi số tiền đó lên 25 lần và cuối cùng kết thúc “với 11,5 nghìn tỷ mã thông báo SSS sau đó được bán với giá 1.310 ETH (~ $4.590.827).”
Ngay sau sự cố, người này đã gửi một thông báo đến cho dự án, rằng anh là hacker mũ trắng và có thiện chí muốn liên hệ với đội ngũ của Super Sushi Samurai.
Tuy nhiên, bất chấp thiện chí của họ, điều đáng chú ý là hacker này đã dẫn đến sự sụp đổ của mã thông báo SSS sau khi rút 4,8 triệu USD. Trước khi sụp đổ, SSS có tổng vốn hóa thị trường là 27,75 triệu USD. Các token kể từ đó đã mất hơn 99% giá trị.
Chỉ một tháng trước, công cụ khai thác token ERC-X đã gặp sự cố và giá token giảm 99% sau khi người dùng phát hiện ra lỗ hổng nhân đôi số dư dẫn đến việc mint token vô hạn. Yu Xian, đồng sáng lập công ty bảo mật blockchain SlowMist của Singapore, cho biết: “Thật đáng tiếc khi hợp đồng có những sơ hở ở mức độ thấp. Bạn có thể nhân đôi số dư của mình bằng cách chuyển tiền cho chính mình”. Sự cố này đã khiến người dùng thiệt hại hơn 10 triệu USD.
Hãy tiếp tục theo dõi Coin Moi để được cập nhất những tin tức mới nhất trong thị trường nhé!
