Cuộc Tấn Công Vào Giao Thức HyperDrive DeFi
Giao thức HyperDrive DeFi đã chịu thiệt hại lên đến 773.000 USD do một cuộc tấn công ảnh hưởng đến hai tài khoản trong thị trường Treasury Bill của nó. Quỹ bị đánh cắp đã được chia giữa các mạng BNB Chain và Ethereum thông qua các chuyển giao cầu nối. Cuộc tấn công đã xâm phạm các vị trí sử dụng thBILL của Theo Network làm tài sản thế chấp, dẫn đến việc ngay lập tức đình chỉ tất cả các thị trường tiền tệ và rút tiền trên nền tảng.
Đây là cuộc tấn công lớn thứ hai nhắm vào hệ sinh thái Hyperliquid trong vòng 72 giờ qua. Phân tích của CertiK cho thấy kẻ tấn công đã khai thác một lỗ hổng gọi là hàm tùy ý trong hợp đồng router, đánh cắp 672.934 USDT và 110.244 thBILL token. Các quỹ bị đánh cắp đã được chuyển qua giao thức deBridge, với khoảng 494.000 USD được chuyển đến Ethereum và 279.000 USD đến BNB Chain trước khi được hợp nhất tại một địa chỉ duy nhất.
Sự cố này đánh dấu vụ xâm nhập bảo mật lớn thứ hai nhắm vào hệ sinh thái Hyperliquid trong vòng ba ngày, sau vụ rug pull HyperVault trị giá 3,6 triệu USD, trong đó các nhà phát triển đã biến mất sau khi xóa tất cả tài khoản mạng xã hội của họ. Sự liên tiếp nhanh chóng của các cuộc tấn công dấy lên lo ngại về tư thế bảo mật của các dự án xây dựng trên nền tảng sàn giao dịch phi tập trung.
Các quan chức HyperDrive xác nhận rằng vụ xâm nhập chỉ giới hạn ở Thị Trường USDT0 Chính và Thị Trường USDT Kho Bạc, không ảnh hưởng đến token HYPED gốc của giao thức. Nhóm đã mời các chuyên gia bảo mật và pháp y để khám phá các kế hoạch bồi thường cho người dùng bị ảnh hưởng.
Lỗ Hổng Trong Router Cho Phép Rút Tiền Hệ Thống
Kẻ tấn công đã nhiều lần khai thác một lỗ hổng nghiêm trọng trong hợp đồng router của HyperDrive, cho phép gọi hàm tùy ý, do đó vượt qua các hạn chế bảo mật thông thường và rút tiền của người dùng. Phân tích pháp y của CertiK đã xác định lỗ hổng cụ thể cho phép việc rút tiền hệ thống từ Thị Trường Kho Bạc thBILL.
Cuộc tấn công nhắm vào các tài khoản nắm giữ các vị trí được hỗ trợ bởi token Kho Bạc của Theo Network, vốn phục vụ như tài sản thế chấp trong các thị trường cho vay của HyperDrive. Đáng chú ý, các chuyên gia bảo mật đã suy đoán rằng phương pháp tiếp cận có hệ thống của kẻ tấn công cho thấy một mức độ hiểu biết cao về cơ chế nội bộ của giao thức và kiến trúc hợp đồng thông minh.
Họ lưu ý rằng các quỹ bị đánh cắp đã nhanh chóng được chuyển ra ngoài chuỗi thông qua deBridge, một giao thức chuỗi chéo giúp chuyển giao tài sản giữa các mạng blockchain khác nhau. Nhóm HyperDrive đã liên hệ với kẻ xâm nhập trên chuỗi, đề nghị một phần thưởng 10% cho việc trả lại các quỹ còn lại. Giao thức đã đình chỉ tất cả các hoạt động thị trường và chức năng rút tiền để ngăn chặn hoạt động độc hại bổ sung trong khi điều tra toàn bộ phạm vi của vụ xâm nhập.
Sự cố này đã thúc đẩy các đánh giá bảo mật rộng rãi hơn trong toàn bộ hệ sinh thái Hyperliquid, khi nhiều dự án xây dựng trên nền tảng phải đối mặt với sự giám sát tăng cường sau làn sóng các cuộc tấn công và rug pull gần đây.
Hệ Sinh Thái Hyperliquid Bị Tấn Công Từ Nhiều Mối Đe Dọa
Vụ xâm nhập HyperDrive gia tăng áp lực lên Hyperliquid sau vụ rug pull HyperVault tàn khốc chỉ 48 giờ trước đó, nơi các nhà phát triển đã biến mất với 3,6 triệu USD sau khi gửi ETH bị đánh cắp vào Tornado Cash. Lừa đảo HyperVault đã phớt lờ các cảnh báo sớm từ cộng đồng về các tuyên bố kiểm toán giả mạo từ các công ty uy tín.
Các sự cố bảo mật trước đó bao gồm việc thao túng token JELLY vào tháng Ba, đã khiến kho của Hyperliquid mất 13,5 triệu USD thông qua việc bơm giá nhân tạo và khai thác vị trí đòn bẩy. Nhà giao dịch “ETH 50x Big Guy” cũng đã thu về 1,8 triệu USD lợi nhuận trong khi gây ra thiệt hại 4 triệu USD cho kho.
Những cuộc tấn công này diễn ra khi ASTER DEX thách thức sự thống trị thị trường của Hyperliquid, xử lý hơn 13 tỷ USD khối lượng hợp đồng tương lai vĩnh viễn hàng ngày so với hoạt động giảm sút của Hyperliquid. Thêm vào đó, ASTER gần đây đã tích hợp Trust Wallet, cung cấp cho 100 triệu người dùng quyền truy cập trực tiếp vào các hợp đồng vĩnh viễn.
Arthur Hayes trước đó đã thoát khỏi toàn bộ vị thế HYPE của mình với lợi nhuận 823.000 USD, viện dẫn việc mở khóa token lớn trị giá 11,9 tỷ USD bắt đầu từ ngày 29 tháng 11. Gần đây, ông đã thăm dò ý kiến của những người theo dõi về việc tái gia nhập HYPE sau khi token giảm 23% trong một tuần xuống còn 35,50 USD.
Mặc dù gặp phải những thách thức về bảo mật, Hyperliquid đã ra mắt stablecoin USDH gốc của mình vào ngày 24 tháng 9, tạo ra 2,2 triệu USD khối lượng giao dịch ban đầu. Native Markets đã giành được quyền phát hành stablecoin sau khi đánh bại các đối thủ đã thành lập, bao gồm Paxos và Ethena Labs, thông qua bỏ phiếu quản trị cạnh tranh.
Nền tảng cũng đã kích hoạt giao dịch HYPE/USDH sau cam kết ba năm của Native Markets để đặt cược 200.000 token HYPE. Sau động thái của cá voi Hayes để bán HYPE, viện dẫn các vấn đề với nguồn cung tokenomics của HYPE, nhà quản lý tài sản DBA đã đề xuất cắt giảm tổng cung HYPE xuống 45% để cải thiện tokenomics. Tuy nhiên, các nhà phê bình đã cảnh báo rằng điều này có thể hạn chế tính linh hoạt trong tăng trưởng trong tương lai.
