Seedify, một vườn ươm web3 tập trung vào các dự án game và metaverse, đã xác nhận một vụ khai thác trị giá 1,2 triệu đô la liên quan đến cầu nối token SFUND. Những kẻ tấn công có liên quan đến Triều Tiên đã sử dụng khóa nhà phát triển bị đánh cắp để tạo ra các token trái phép và rút thanh khoản trên nhiều chuỗi. Nhóm đã tạm dừng hoạt động cầu nối và công bố chương trình “Phoenix Raise” để hỗ trợ những người dùng bị ảnh hưởng.
Vào ngày 23 tháng 9, nền tảng khởi chạy web3 Seedify đã bị khai thác nghiêm trọng nhắm vào cầu nối chuỗi chéo cho token SFUND. Theo nhóm nghiên cứu, những kẻ tấn công đã sử dụng khóa nhà phát triển bị đánh cắp để truy cập vào hợp đồng cầu nối đã vượt qua các cuộc kiểm toán trước đó. Điều này dẫn đến việc đúc token SFUND trái phép, sau đó được chuyển qua nhiều chuỗi và nhanh chóng được bán ra, gây ra biến động giá lớn và làm tổn hại đến niềm tin của người dùng.
Cuộc tấn công được cho là do một nhóm có liên hệ với Triều Tiên thực hiện và Seedify đã lên kế hoạch cho cái mà họ gọi là “Phoenix Raise” để hỗ trợ những người dùng bị ảnh hưởng và xây dựng lại nền tảng của mình.
Truy cập khóa dẫn đến khai thác cầu nối
Vào khoảng 12:05 UTC ngày 23 tháng 9, những kẻ tấn công đã chiếm được quyền kiểm soát khóa riêng của một nhà phát triển. Nhờ đó, chúng có thể thay đổi cài đặt hợp đồng cầu nối OFT của Seedify và đúc một lượng lớn token SFUND mới trên Avalanche.
Thông thường, token chỉ được đúc thông qua cầu nối nếu tiền thực tế được chuyển giữa các chuỗi. Tuy nhiên, bằng cách sửa đổi logic hợp đồng, kẻ tấn công đã vượt qua các biện pháp kiểm soát này. Hợp đồng được đề cập trước đó đã được một công ty bảo mật hàng đầu kiểm tra, nhưng điều đó không ngăn chặn được hành vi khai thác do bản chất của vụ xâm phạm.
Sau khi các token được đúc trên Avalanche, kẻ tấn công đã di chuyển chúng qua nhiều chuỗi, bao gồm Ethereum, Arbitrum và Base, làm cạn kiệt thanh khoản của các nhóm. Sau đó, kẻ tấn công đã gửi số token còn lại đến BNB Chain, nơi chúng nhanh chóng được bán ra trước khi nhóm có thể ngăn chặn vụ tấn công.
Thanh khoản cạn kiệt, giá giảm mạnh
Khi vụ việc bị phát hiện, giá của SFUND đã giảm gần 60% trong vòng 24 giờ. Token này chạm mức thấp nhất là 0,0537 đô la trước khi phục hồi trở lại gần mức 0,25 đô la. Đây là một cú sụp đổ đột ngột, với hơn 1,2 triệu đô la giá trị bị mất trong quá trình này.
Ước tính khoảng 64.000 người nắm giữ token SFUND trên BNB Chain đã bị ảnh hưởng trực tiếp. Nhiều người đã chứng kiến tài sản của mình mất giá trị hoặc bị pha loãng. Một phần số tiền bị đánh cắp , khoảng 200.000 đô la, đã bị HTX đóng băng để hạn chế tổn thất.
Hành động nhanh chóng của nhóm Seedify
Sau khi phát hiện sự cố, Seedify đã phản ứng bằng cách dừng mọi hoạt động cầu nối chuỗi chéo và tạm dừng hoạt động token trên các chuỗi bị ảnh hưởng. Địa chỉ ví của kẻ tấn công đã bị đưa vào danh sách đen và quyền liên quan đến khóa bị xâm phạm đã bị thu hồi.
Seedify đã cảnh báo người dùng không mua SFUND trên bất kỳ chuỗi nào khác ngoài BNB Chain cho đến khi có thông báo mới. Họ nhấn mạnh rằng vụ khai thác chỉ ảnh hưởng đến một ví bị xâm phạm và các hợp đồng cốt lõi, ví người dùng và giao thức chính không bị ảnh hưởng.
Nhóm hiện đang xem xét lại toàn bộ cơ sở hạ tầng, phối hợp với các kiểm toán viên bên ngoài và các đối tác bảo mật. Việc giao dịch trên CEX cũng đã bị tạm dừng để giúp ngăn chặn sự cố và giảm thiểu biến động.
Ai là kẻ đứng sau vụ tấn công?
Seedify đã nêu tên một nhóm có liên hệ với nhà nước Triều Tiên là bên đứng sau vụ tấn công. Theo nhóm, nhóm này đã từng tham gia vào một số vụ khai thác web3 nổi tiếng khác trong quá khứ. Tuyên bố này được củng cố bởi phân tích onchain và đánh giá chi tiết của các đối tác bảo mật (ZachXBT, ZeroShadow) quen thuộc với các trường hợp tương tự.
Nhóm có thể hành động nhanh chóng; đúc, kết nối và bán mã thông báo trên 4 blockchain trước khi biện pháp kiểm soát thiệt hại lớn có thể được thực hiện.
Phân tích bảo mật: Cách thức hoạt động của lỗ hổng
Sự cố bắt đầu khi một nhóm có liên hệ với nhà nước CHDCND Triều Tiên, nổi tiếng với nhiều cuộc tấn công web3, đã chiếm được quyền truy cập vào một trong các khóa riêng tư của nhà phát triển Seedify. Quyền truy cập này cho phép kẻ tấn công thay đổi cài đặt trong hợp đồng cầu nối OFT và đúc một lượng lớn token SFUND trên Avalanche mà không cần bất kỳ hoạt động cầu nối thực sự nào diễn ra.
Ở giai đoạn này, vẫn chưa rõ khóa của nhà phát triển đã bị xâm phạm như thế nào. Nhóm nghiên cứu vẫn chưa công bố báo cáo chính thức nào. Điều đã biết là kẻ tấn công đã có thể sử dụng khóa đó để chiếm quyền kiểm soát cao hơn đối với các đặc quyền tạo hợp đồng.
Các hợp đồng bị ảnh hưởng đã vượt qua kiểm tra, nhưng kẻ tấn công không dựa vào lỗ hổng mã. Thay vào đó, chúng sử dụng các quyền hợp lệ được liên kết với khóa bị xâm phạm để vượt qua các biện pháp bảo vệ và phát hành mã thông báo trái phép.
Sau khi token được đúc, kẻ tấn công đã chuyển chúng sang Ethereum, Arbitrum và Base, rút cạn thanh khoản bằng cách hoán đổi token lấy các tài sản khác. Phần cuối cùng và lớn nhất của chiến dịch diễn ra trên BNB Chain, nơi các token còn lại được bán ra trước khi các biện pháp kiểm soát được áp dụng.
Seedify ra mắt “Phoenix Raise”
Để hỗ trợ những người bị ảnh hưởng và đảm bảo hệ sinh thái tiếp tục phát triển, nhà sáng lập Seedify, Meta Alchemist , đã công bố một kế hoạch mang tên “Phoenix Raise”. Nỗ lực phục hồi này không chỉ nhằm mục đích bù đắp tổn thất mà còn giúp nền tảng chuyển đổi sang một giai đoạn mới.
Chương trình Phoenix Raise sẽ được thực hiện thông qua CEX và số tiền quyên góp được sẽ được dùng cho 4 mục tiêu chính:
- Giúp người dùng được bồi thường toàn bộ số tiền đã mất trong nhóm thanh khoản
- Tài trợ cho việc đại tu toàn bộ hệ thống bảo mật của Seedify
- Tiến hành mua lại SFUND để hỗ trợ nền kinh tế token
- Đầu tư vào tăng trưởng, tiếp thị và chuyển sang mô hình bệ phóng không cần xin phép
Đội ngũ cũng xác nhận rằng việc di chuyển toàn bộ token đang được chuẩn bị, mặc dù chưa có mốc thời gian cụ thể. Người dùng được khuyến cáo chỉ sử dụng SFUND trên BNB Chain và chờ hướng dẫn chính thức về việc di chuyển.
Seedify cho biết họ có kế hoạch kiểm toán lại mọi hợp đồng bởi nhiều công ty và sẽ thiết lập một chương trình thưởng mới cho việc báo cáo lỗ hổng bảo mật. Nhóm nghiên cứu mô tả sự kiện này là một bước ngoặt: không phải là hồi kết của Seedify, mà là một sự chuyển đổi thành một thứ gì đó bền bỉ hơn.
Xây dựng lại niềm tin vào cơ sở hạ tầng Web3
Vụ hack Seedify là một ví dụ khác cho thấy các nền tảng web3 vẫn dễ bị tấn công như thế nào, đặc biệt là khi nói đến các cầu nối chuỗi chéo. Ngay cả các hợp đồng đã vượt qua kiểm toán vẫn có thể bị lộ nếu khóa riêng tư không được bảo vệ hết sức cẩn thận.
Sự cố này cũng khơi mào những cuộc thảo luận rộng rãi hơn trong cộng đồng về quyền tập trung và rủi ro khi nắm giữ quá nhiều quyền kiểm soát trong một ví duy nhất. Các dự án hiện được kỳ vọng sẽ áp dụng các biện pháp bảo vệ bổ sung, chẳng hạn như phê duyệt đa chữ ký và trì hoãn dựa trên thời gian đối với các hành động quan trọng.
Mặc dù một số tiền đã được thu hồi và không có ví người dùng nào bị xâm phạm, nhưng sự mất lòng tin là rất đáng kể. Cách Seedify xử lý các bước tiếp theo có thể sẽ định hình tương lai của nền tảng này.
Một tuần đầy biến động cho Web3
Lỗ hổng SFUND không phải là vấn đề bảo mật duy nhất gây chấn động thế giới web3 tuần này. Chủ nhật vừa qua, một streamer Twitch bị ung thư giai đoạn 4 có biệt danh RastalandTV đã mất hơn 32.000 đô la tiền điện tử sau khi tải xuống một trò chơi bị nhiễm phần mềm độc hại từ Steam có tên BlockBlasters.
Trò chơi, vốn đã được cập nhật âm thầm bằng các công cụ đánh cắp thông tin đăng nhập, đã xóa sạch ví của anh ngay khi đang phát trực tiếp, trong đó có số tiền được quyên góp để hỗ trợ điều trị ung thư. Cộng đồng nhanh chóng chung tay giúp đỡ anh, với sự tham gia của Alex Becker, một người có sức ảnh hưởng trong lĩnh vực tiền điện tử, và nhiều người khác đã vào cuộc để đền bù số tiền bị đánh cắp.
Tính đến thứ Hai, hơn 261 trường hợp tương tự đã bị nghi ngờ, với tổng thiệt hại hơn 150.000 đô la liên quan đến phần mềm độc hại. Trò chơi đã bị xóa khỏi Steam, nhưng thiệt hại vẫn tiếp tục gia tăng.
