Ekubo Protocol bị tấn công trên 2 mạng lưới, thiệt hại 1,4 triệu USD

Ekubo Protocol, một sàn giao dịch phi tập trung, đã mất khoảng 1,4 triệu USD giá trị Wrapped Bitcoin (WBTC) sau khi một vụ khai thác nhắm vào các hợp đồng router swap của họ trên mạng Ethereum và Arbitrum. Lỗ hổng bắt nguồn từ việc thiếu kiểm tra xác thực, cho phép kẻ tấn công rút tiền từ những người dùng trước đó đã cấp quyền phê duyệt cho các hợp đồng này.

Cuộc tấn công lần đầu tiên được báo cáo bởi công ty bảo mật Blockaid và sau đó được đội ngũ Ekubo xác nhận. Một thông báo chính thức cho biết: "Vụ khai thác Ekubo Protocol xảy ra do một lỗi đơn giản nhưng tốn kém trong mã nguồn". Vấn đề cốt lõi là "thiếu xác thực người thanh toán" trong hàm callback IPayer.pay, vốn không xác minh được nguồn của các tham số, cho phép kẻ tấn công chuyển token thay mặt cho người dùng.

Dữ liệu cho thấy vụ khai thác dẫn đến việc đánh cắp khoảng 17 WBTC qua 85 giao dịch. Giao thức lõi của Ekubo, chủ yếu hoạt động trên Starknet, vẫn an toàn. Lỗ hổng chỉ giới hạn ở các hợp đồng router V2 và V3 cụ thể trên các chuỗi tương thích EVM, chỉ ảnh hưởng đến những người dùng đã cấp quyền phê duyệt token không giới hạn cho các địa chỉ này. Các nhà cung cấp thanh khoản và người dùng giao thức gốc trên Starknet không bị ảnh hưởng.

Sự cố này làm nổi bật những rủi ro dai dẳng liên quan đến việc phê duyệt token trong không gian DeFi trên Ethereum. Mặc dù tiện lợi, nhưng việc cấp quyền không giới hạn cho các hợp đồng thông minh có thể khiến người dùng gặp rủi ro mất mát đáng kể nếu lỗ hổng bị phát hiện. Đội ngũ Ekubo đang biên soạn báo cáo hậu kiểm và cảnh báo người dùng cảnh giác với các trò lừa đảo hoàn tiền tiềm ẩn, khuyên họ nên theo dõi các kênh chính thức để cập nhật thông tin.

Cách bảo vệ tài sản của bạn

Đội ngũ Ekubo kêu gọi tất cả người dùng đã từng tương tác với các hợp đồng router bị ảnh hưởng trên Ethereum hoặc Arbitrum hãy thu hồi bất kỳ quyền hoạt động nào ngay lập tức. Điều này có thể được thực hiện bằng các công cụ bên thứ ba đáng tin cậy như revoke.cash.

Thu hồi phê duyệt cho các địa chỉ hợp đồng cụ thể sau:

Ethereum:

0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)
0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)

Arbitrum:

0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)

Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.