Vụ hack Infini: Bài học đắt giá về quản lý quyền truy cập trong hợp đồng thông minh
Một cựu lập trình viên đã lợi dụng quyền quản trị để đánh cắp 49,5 triệu USD từ nền tảng Infini, làm dấy lên lo ngại về an ninh trong không gian DeFi.
Nền tảng tài chính phi tập trung Infini vừa trải qua một vụ tấn công mạng nghiêm trọng, dẫn đến thiệt hại 49,5 triệu USD. Kẻ tấn công, được xác định là một cựu lập trình viên của dự án, đã lợi dụng quyền quản trị còn sót lại sau khi hoàn thành công việc để rút tiền trái phép.
Theo phân tích từ Cyvers, kẻ tấn công đã nắm giữ quyền quản trị trong hơn 100 ngày mà không bị phát hiện. Số tiền bị đánh cắp, ban đầu ở dạng USDC, đã được chuyển đổi sang DAI và sau đó là ETH trước khi được chuyển đến một địa chỉ khác và được rửa tiền thông qua Tornado Cash.
QuillAudits, công ty kiểm toán hợp đồng thông minh, xác nhận lỗ hổng bảo mật xuất phát từ việc xâm nhập khóa riêng tư, cho phép kẻ tấn công truy cập vào một tài khoản đặc biệt có quyền rút tiền từ kho lưu trữ. Hai giao dịch với tổng giá trị 49,5 triệu USD đã được thực hiện từ Morpho MEVCapital USDC Vault.
Nhà sáng lập Infini, Christian Li, đã lên tiếng xác nhận vụ việc và cam kết bồi thường đầy đủ cho người dùng. Ông thừa nhận sự tắc trách của đội ngũ trong việc chuyển giao quyền hạn trước đó. Infini vẫn tiếp tục cho phép người dùng rút tiền và đang nỗ lực truy tìm số tiền bị đánh cắp. Thậm chí, Li còn đề nghị trả cho hacker 20% số tiền nếu họ đồng ý trả lại mà không bị truy cứu trách nhiệm pháp lý.
Vụ việc này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm soát quyền truy cập trong hợp đồng thông minh. Việc không thu hồi quyền quản trị sau khi hoàn thành dự án đã tạo ra lỗ hổng bảo mật nghiêm trọng. Các chuyên gia khuyến cáo các dự án cần xem xét việc kiểm soát quyền truy cập như một ưu tiên hàng đầu trong bảo mật, thực hiện kiểm tra và thu hồi quyền không cần thiết sau khi triển khai.
Vụ tấn công Infini xảy ra trong bối cảnh lo ngại về an ninh trong DeFi ngày càng gia tăng. Theo báo cáo, hơn 2,2 tỷ USD tiền điện tử đã bị đánh cắp trong năm ngoái, với 50% số tiền đó liên quan đến các nhóm hacker Bắc Triều Tiên. Số vụ tấn công cũng tăng từ 282 vụ trong năm 2023 lên 303 vụ trong năm 2024. Điều này cho thấy sự cần thiết phải tăng cường an ninh và nâng cao nhận thức về rủi ro trong lĩnh vực DeFi.
Bài học từ vụ việc Infini là lời cảnh tỉnh cho các dự án DeFi về việc quản lý quyền truy cập và tầm quan trọng của kiểm toán bảo mật. Hy vọng rằng, cộng đồng DeFi sẽ rút ra được kinh nghiệm từ những sự cố này để xây dựng một hệ sinh thái an toàn và bền vững hơn.
