Thêm một nền tảng giao dịch tiền điện tử lớn bị hack, 80 triệu USD “bay màu”

Qubit Finance, một trong những nền tảng tài chính phi tập trung (DeFi) quy mô lớn, vừa trở thành cái tên mới nhất gia nhập vào danh sách những sàn giao dịch tiền điện tử quy mô lớn bị hacker ghé thăm trong năm nay. Theo ước tính sơ bộ, lượng tài sản bị đánh cắp có giá trị tương đương 80 triệu USD, biến đây trở thành vụ hack lớn nhất nhắm vào lĩnh vực tiền điện tử trong năm 2022 tính đến thời điểm hiện tại.

Báo cáo chi tiết từ Qubit cho thấy vụ tấn công diễn ra vào khoảng 5 giờ chiều ngày 27 tháng 1 năm 2022. Tuy nhiên thông tin chính thức về vụ việc chỉ được đăng tải trên Medium vào khoảng 3 giờ sáng ngày 28 tháng 1. Có nghĩa là công ty đã mất khoảng 10 giờ để thừa nhận hoàn toàn thông tin về vụ hack.

Theo kết quả điều tra bước đầu của đội ngũ bảo mật CertiK, hacker nhiều khả năng đã lợi dụng tùy chọn đặt cọc trong hợp đồng QBridge để khai thác bất hợp pháp 77.162 qXETH. Đây là tài sản đại diện cho Ethereum được bắc cầu qua Qubit. Kẻ tấn công đã đánh lừa được giao thức rằng tiền đã được gửi đi, nhưng thực tế hoàn toàn chưa. Tin tặc đã thực hiện quy trình này nhiều lần và kết quả là đã chuyển đổi tất cả tài sản sang Binance Coin.

Trong hoạt động thực tế, Qubit là đóng vai trò như một “cầu nối” cho phép các khoản tiền gửi được thực hiện bằng một loại tiền điện tử này và rút bằng một loại tiền điện tử khác. Như vậy, có rất nhiều tiền được chuyển qua dịch vụ của nền tảng này, đó cũng là lý do tại sao những kẻ tấn công có thể đánh cắp một số tiền lớn đến thế.

Trong một bài đăng trên Twitter, phía Qubit thông báo cho khách hàng rằng quá trình theo dõi tin tặc cũng như tài sản bị ảnh hưởng vẫn đang diễn ra một cách nghiêm túc.

“Chúng tôi đang làm việc với các đối tác mạng và bảo mật để xác định các bước cần thiết tiếp theo. Song song với đó là tiếp tục theo dõi kẻ tấn công và hướng chuyển động của tài sản bị đánh cắp.

Mặt khác, cúng tôi cũng đã liên hệ với hacker để thống nhất mức chi phí thu hồi tài sản”.

Nhiều khả năng đang Qubit đang có kế hoạch đưa ra một số tiền lớn dưới dạng tiền thưởng phát hiện lỗi bảo mật cho kẻ tấn công. Nhưng có lẽ phương án này chỉ được tính đến khi quá trình điều tra và thu hồi tài sản thất thoát lâm vào bế tắc.