Venus Protocol: Một con cá voi khổng lồ bị tấn công bởi lừa đảo và mất hàng chục triệu đô la. Sự can thiệp khẩn cấp của giao thức để buộc thanh lý những kẻ tấn công và thu hồi tiền cũng đã đặt ra câu hỏi về bản chất phi tập trung của nó. Bài viết này bắt nguồn từ một bài viết được viết bởi Rekt News, và được biên soạn, biên soạn và viết bởi TechFlow. (Tóm tắt nội dung: Người dùng Venus Protocol đã bị lừa đảo và mất 27 triệu đô la, không phải giao thức bị tấn công!) (Bối cảnh được thêm vào: Máy tính của bạn đang giúp tin tặc khai thác Bitcoin!) 3.500 trang web đã được cấy ghép "tập lệnh khai thác" và việc chiếm quyền điều khiển lén lút khiến người dùng không biết) Một con cá voi tại V enus Protocol vừa học được thông qua trải nghiệm đau đớn rằng các cuộc gọi Zoom có thể tốn kém hơn khoản thế chấp của bạn. Một ứng dụng video độc hại, một chữ ký đúng thời gian, 13 triệu đô la biến mất nhanh hơn thông báo của Rug Pull. Nhưng đây là bước ngoặt trong câu chuyện - Venus không chỉ chứng kiến người dùng bị rỗng và sau đó thờ ơ. Họ đã đóng cửa giao thức của riêng mình, khẩn trương kêu gọi bỏ phiếu và hoàn thành "chiến dịch giải cứu" gây tranh cãi nhất trong không gian DeFi trong vòng chưa đầy 12 giờ. Những gì bắt đầu như một cuộc tấn công lừa đảo dường như bình thường đã trở thành một lớp học tuyệt vời về việc liệu các giao thức phi tập trung có thể là "cả cá và gấu" hay không. Khi giải cứu cá voi có nghĩa là để lộ công tắc ngắt kết nối ẩn trong giao thức, ai thực sự được giải cứu? Sự kiện bắt đầu và kết thúc vào ngày 2 tháng 9, 9:05 UTC. Một trong những con cá voi của Giao thức Venus đã ra mắt ứng dụng Zoom của họ, sẵn sàng bắt đầu một ngày kinh doanh DeFi mới. Nhưng phần mềm video dường như vô hại đã âm thầm bị xâm phạm, cho phép kẻ tấn công truy cập toàn bộ thiết bị của họ thông qua cửa hậu. Nạn nhân ký một giao dịch ủy quyền được ủy quyền – một hoạt động thông thường xảy ra hàng nghìn lần một ngày trong DeFi. Một thỏa thuận để quản lý vị trí của bạn mà không cần chạm vào khóa riêng tư. Nói chung, bạn có thể ký các thỏa thuận này nhanh hơn bạn có thể đọc các điều khoản dịch vụ. Bấm. Chữ ký. Ngay lập tức "bùng nổ vị trí". Từ chữ ký đến sự hủy hoại tài chính, chỉ sáu giây. Do đó, một ứng dụng video bị xâm nhập đã giao quyền quản lý ví trị giá 13 triệu đô la cho một kẻ tấn công, người đã kiên nhẫn chờ đợi thời điểm. Đây là nơi hầu hết các câu chuyện lừa đảo kết thúc - cá voi phải chịu đựng, những kẻ tấn công biến mất và những lời chế nhạo nạn nhân trên Twitter tiếp tục trong một tuần. Nhưng lần này, kế hoạch của bọn trộm tham vọng hơn nhiều so với việc chỉ đơn giản là "cướp mọi thứ". Điều gì xảy ra khi ăn cắp hàng triệu đô la là không đủ? Hành động trộm cắp 09:05:36 UTC. Chỉ sáu giây sau khi những con cá voi ký "giao thức tự sát tiền điện tử" của họ, những kẻ tấn công đã tung ra một "kiệt tác" của các khoản vay nhanh. Khai thác giao dịch: Phân tích sau khi khám nghiệm của 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 Venus Protocol giải cấu trúc chi tiết chiến thuật của kẻ tấn công: Bước 1: Lightning vay 285,72 BTCB - rốt cuộc, tại sao phải sử dụng tiền của chính bạn? DeFi cho phép bạn vay hàng triệu đô la mà không cần tài sản thế chấp. Bước 2: Sử dụng số tiền vay để trả hết các khoản nợ hiện có của nạn nhân đồng thời thêm 21 BTCB từ tài khoản của chính kẻ tấn công. Những gì dường như là sự hào phóng thực sự là "giết người kế toán" nhẫn tâm. Bước 3: Kích hoạt quyền được ủy quyền. Chuyển toàn bộ tài sản kỹ thuật số của nạn nhân - bao gồm vUSDT trị giá 19,8 triệu đô la, vUSDC trị giá 7,15 triệu đô la, 285 BTCB và một danh sách dài các mã thông báo khác. Tất cả đều hoàn toàn hợp pháp, bởi vì chữ ký "ngây thơ" từ sáu giây trước đã được ủy quyền. Bước 4: Một cú đánh rực rỡ. Sử dụng những tài sản mới bị đánh cắp này làm tài sản thế chấp, 7,14 triệu đô la USDC đã được vay dựa trên BNB còn lại của nạn nhân. Những kẻ tấn công không chỉ làm trống ví của họ mà còn khiến nạn nhân phải trả giá cho việc "trộm cắp" của họ. Bước 5: Vay đủ BTCB để hoàn trả khoản vay nhanh. Giao dịch hoàn tất và kẻ tấn công lặng lẽ biến mất. Một nhà giao dịch tự động, một con cá voi rỗng, một tên trộm tiền điện tử rất hài lòng - người vừa biến số tiền tiết kiệm cả đời của người khác thành con búp bê thế chấp của chính họ. Tuy nhiên, lòng tham thường biến thợ săn thành con mồi. Điều gì xảy ra khi một "vụ trộm hoàn hảo" biến thành một "hoạt động tự sát"? Các biện pháp đối phó Vào lúc 09:09 UTC, bốn phút sau vụ trộm, hệ thống giám sát của HexaGate và Hypernative bắt đầu phát ra âm thanh báo động. Đây không phải là lời nhắc "phát hiện giao dịch đáng ngờ" thông thường. Đó là một cảnh báo 5 cấp trị giá 13 triệu đô la và các công ty bảo mật ngay lập tức biết phải liên hệ với ai. Phản ứng của Venus Protocol? Lựa chọn hạt nhân bắt đầu trực tiếp. Từ vụ trộm đến đình chỉ thỏa thuận, chỉ mất hai mươi phút. Sao Kim đã kích hoạt ngắt kết nối của riêng họ, đóng băng tất cả các tính năng cốt lõi của toàn bộ hệ sinh thái. Vay? Dừng. Rút? Kết thúc. Thanh lý? Tạm dừng. Một người dùng đã bị lừa đảo và toàn bộ giao thức bị đình trệ. Đó không chỉ là kiểm soát khủng hoảng - đó là một cuộc chiến tài chính. Sao Kim dứt khoát hạn chế nền tảng của nó trong nỗ lực bẫy những kẻ tấn công khỏi hàng hóa bị đánh cắp. Mỗi vToken do hacker nắm giữ ngay lập tức trở thành giấy phế liệu vô giá trị, bị khóa dưới quyền khẩn cấp của Venus. Nhưng đóng băng toàn bộ giao thức DeFi để cứu một con cá voi khổng lồ? Quyết định như vậy không thể được đưa ra bởi một mình nhóm phát triển. Và do đó là sự xuất hiện của dân chủ: bỏ phiếu quản trị khẩn cấp. Khi cộng đồng chỉ có mười hai giờ để quyết định có nên tiết kiệm tài sản của người dùng thông qua các phương tiện tập trung hay không, bạn có thể thực sự gọi nó là phi tập trung? Nền dân chủ sét Venus không chỉ đình chỉ giao thức mà còn gọi một "cuộc họp ảo" khẩn cấp sẽ khiến bất kỳ nhóm khủng hoảng Web2 nào ghen tị. Họ gọi đó là "bỏ phiếu chớp nhoáng". Rốt cuộc, không có gì giống như "quản trị cơ sở" bằng việc ép một quyết định trị giá hàng triệu đô la vào hàng giờ tranh luận sôi nổi trên Discord. Nội dung đề xuất đơn giản và rõ ràng: Giai đoạn 1: Khôi phục một phần chức năng (để người dùng tránh bị thanh lý). Giai đoạn 2: Buộc thanh lý vị trí của kẻ tấn công. Giai đoạn 3: Tiến hành đánh giá bảo mật toàn diện để ngăn chặn các sự cố tương tự xảy ra lần nữa. Giai đoạn 4: Phục hồi hoàn toàn các hoạt động của sao Kim. Phản ứng của cộng đồng? 100% nhất trí. Không phải 99%. Cũng không phải 98%. Mọi phiếu bầu đều ủng hộ kế hoạch hành động của Venus, như thể đó là một phiên bản DeFi nào đó của kết quả bầu cử của Triều Tiên. Có lẽ đây là một sự đồng thuận thực sự, hoặc có lẽ nó là vì tự bảo vệ. Hoặc khi thỏa thuận của bạn đang tiêu tốn hàng triệu đô la và đối thủ cạnh tranh vây quanh bạn như kền kền, bất đồng trở thành một thứ xa xỉ mà không ai có thể mua được. Đến buổi chiều, Venus được trao quyền. Những gì tiếp theo là hoạt động thanh lý gây tranh cãi nhất trong lịch sử DeFi: một hoạt động yêu cầu bỏ qua các quy tắc hợp đồng thông minh để cưỡng bức chiếm đoạt tài sản thế chấp của kẻ tấn công. Nạn nhân đang gặp khủng hoảng vì ký giao dịch sai, và Venus sắp ký vào "giấy chứng tử của dân chủ". Điều gì xảy ra khi "mã là luật" gặp thẩm quyền khẩn cấp? Hành động hồi sức 21:36 UTC. Trong vụ trộm xảy ra mười hai ...
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Một lần câu cá, tại sao lại mở ra mâu thuẫn tinh thần của việc DeFi có thể "có được cả hai"? Tiết lộ về cuộc tấn công Venus
Venus Protocol: Một con cá voi khổng lồ bị tấn công bởi lừa đảo và mất hàng chục triệu đô la. Sự can thiệp khẩn cấp của giao thức để buộc thanh lý những kẻ tấn công và thu hồi tiền cũng đã đặt ra câu hỏi về bản chất phi tập trung của nó. Bài viết này bắt nguồn từ một bài viết được viết bởi Rekt News, và được biên soạn, biên soạn và viết bởi TechFlow. (Tóm tắt nội dung: Người dùng Venus Protocol đã bị lừa đảo và mất 27 triệu đô la, không phải giao thức bị tấn công!) (Bối cảnh được thêm vào: Máy tính của bạn đang giúp tin tặc khai thác Bitcoin!) 3.500 trang web đã được cấy ghép "tập lệnh khai thác" và việc chiếm quyền điều khiển lén lút khiến người dùng không biết) Một con cá voi tại V enus Protocol vừa học được thông qua trải nghiệm đau đớn rằng các cuộc gọi Zoom có thể tốn kém hơn khoản thế chấp của bạn. Một ứng dụng video độc hại, một chữ ký đúng thời gian, 13 triệu đô la biến mất nhanh hơn thông báo của Rug Pull. Nhưng đây là bước ngoặt trong câu chuyện - Venus không chỉ chứng kiến người dùng bị rỗng và sau đó thờ ơ. Họ đã đóng cửa giao thức của riêng mình, khẩn trương kêu gọi bỏ phiếu và hoàn thành "chiến dịch giải cứu" gây tranh cãi nhất trong không gian DeFi trong vòng chưa đầy 12 giờ. Những gì bắt đầu như một cuộc tấn công lừa đảo dường như bình thường đã trở thành một lớp học tuyệt vời về việc liệu các giao thức phi tập trung có thể là "cả cá và gấu" hay không. Khi giải cứu cá voi có nghĩa là để lộ công tắc ngắt kết nối ẩn trong giao thức, ai thực sự được giải cứu? Sự kiện bắt đầu và kết thúc vào ngày 2 tháng 9, 9:05 UTC. Một trong những con cá voi của Giao thức Venus đã ra mắt ứng dụng Zoom của họ, sẵn sàng bắt đầu một ngày kinh doanh DeFi mới. Nhưng phần mềm video dường như vô hại đã âm thầm bị xâm phạm, cho phép kẻ tấn công truy cập toàn bộ thiết bị của họ thông qua cửa hậu. Nạn nhân ký một giao dịch ủy quyền được ủy quyền – một hoạt động thông thường xảy ra hàng nghìn lần một ngày trong DeFi. Một thỏa thuận để quản lý vị trí của bạn mà không cần chạm vào khóa riêng tư. Nói chung, bạn có thể ký các thỏa thuận này nhanh hơn bạn có thể đọc các điều khoản dịch vụ. Bấm. Chữ ký. Ngay lập tức "bùng nổ vị trí". Từ chữ ký đến sự hủy hoại tài chính, chỉ sáu giây. Do đó, một ứng dụng video bị xâm nhập đã giao quyền quản lý ví trị giá 13 triệu đô la cho một kẻ tấn công, người đã kiên nhẫn chờ đợi thời điểm. Đây là nơi hầu hết các câu chuyện lừa đảo kết thúc - cá voi phải chịu đựng, những kẻ tấn công biến mất và những lời chế nhạo nạn nhân trên Twitter tiếp tục trong một tuần. Nhưng lần này, kế hoạch của bọn trộm tham vọng hơn nhiều so với việc chỉ đơn giản là "cướp mọi thứ". Điều gì xảy ra khi ăn cắp hàng triệu đô la là không đủ? Hành động trộm cắp 09:05:36 UTC. Chỉ sáu giây sau khi những con cá voi ký "giao thức tự sát tiền điện tử" của họ, những kẻ tấn công đã tung ra một "kiệt tác" của các khoản vay nhanh. Khai thác giao dịch: Phân tích sau khi khám nghiệm của 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 Venus Protocol giải cấu trúc chi tiết chiến thuật của kẻ tấn công: Bước 1: Lightning vay 285,72 BTCB - rốt cuộc, tại sao phải sử dụng tiền của chính bạn? DeFi cho phép bạn vay hàng triệu đô la mà không cần tài sản thế chấp. Bước 2: Sử dụng số tiền vay để trả hết các khoản nợ hiện có của nạn nhân đồng thời thêm 21 BTCB từ tài khoản của chính kẻ tấn công. Những gì dường như là sự hào phóng thực sự là "giết người kế toán" nhẫn tâm. Bước 3: Kích hoạt quyền được ủy quyền. Chuyển toàn bộ tài sản kỹ thuật số của nạn nhân - bao gồm vUSDT trị giá 19,8 triệu đô la, vUSDC trị giá 7,15 triệu đô la, 285 BTCB và một danh sách dài các mã thông báo khác. Tất cả đều hoàn toàn hợp pháp, bởi vì chữ ký "ngây thơ" từ sáu giây trước đã được ủy quyền. Bước 4: Một cú đánh rực rỡ. Sử dụng những tài sản mới bị đánh cắp này làm tài sản thế chấp, 7,14 triệu đô la USDC đã được vay dựa trên BNB còn lại của nạn nhân. Những kẻ tấn công không chỉ làm trống ví của họ mà còn khiến nạn nhân phải trả giá cho việc "trộm cắp" của họ. Bước 5: Vay đủ BTCB để hoàn trả khoản vay nhanh. Giao dịch hoàn tất và kẻ tấn công lặng lẽ biến mất. Một nhà giao dịch tự động, một con cá voi rỗng, một tên trộm tiền điện tử rất hài lòng - người vừa biến số tiền tiết kiệm cả đời của người khác thành con búp bê thế chấp của chính họ. Tuy nhiên, lòng tham thường biến thợ săn thành con mồi. Điều gì xảy ra khi một "vụ trộm hoàn hảo" biến thành một "hoạt động tự sát"? Các biện pháp đối phó Vào lúc 09:09 UTC, bốn phút sau vụ trộm, hệ thống giám sát của HexaGate và Hypernative bắt đầu phát ra âm thanh báo động. Đây không phải là lời nhắc "phát hiện giao dịch đáng ngờ" thông thường. Đó là một cảnh báo 5 cấp trị giá 13 triệu đô la và các công ty bảo mật ngay lập tức biết phải liên hệ với ai. Phản ứng của Venus Protocol? Lựa chọn hạt nhân bắt đầu trực tiếp. Từ vụ trộm đến đình chỉ thỏa thuận, chỉ mất hai mươi phút. Sao Kim đã kích hoạt ngắt kết nối của riêng họ, đóng băng tất cả các tính năng cốt lõi của toàn bộ hệ sinh thái. Vay? Dừng. Rút? Kết thúc. Thanh lý? Tạm dừng. Một người dùng đã bị lừa đảo và toàn bộ giao thức bị đình trệ. Đó không chỉ là kiểm soát khủng hoảng - đó là một cuộc chiến tài chính. Sao Kim dứt khoát hạn chế nền tảng của nó trong nỗ lực bẫy những kẻ tấn công khỏi hàng hóa bị đánh cắp. Mỗi vToken do hacker nắm giữ ngay lập tức trở thành giấy phế liệu vô giá trị, bị khóa dưới quyền khẩn cấp của Venus. Nhưng đóng băng toàn bộ giao thức DeFi để cứu một con cá voi khổng lồ? Quyết định như vậy không thể được đưa ra bởi một mình nhóm phát triển. Và do đó là sự xuất hiện của dân chủ: bỏ phiếu quản trị khẩn cấp. Khi cộng đồng chỉ có mười hai giờ để quyết định có nên tiết kiệm tài sản của người dùng thông qua các phương tiện tập trung hay không, bạn có thể thực sự gọi nó là phi tập trung? Nền dân chủ sét Venus không chỉ đình chỉ giao thức mà còn gọi một "cuộc họp ảo" khẩn cấp sẽ khiến bất kỳ nhóm khủng hoảng Web2 nào ghen tị. Họ gọi đó là "bỏ phiếu chớp nhoáng". Rốt cuộc, không có gì giống như "quản trị cơ sở" bằng việc ép một quyết định trị giá hàng triệu đô la vào hàng giờ tranh luận sôi nổi trên Discord. Nội dung đề xuất đơn giản và rõ ràng: Giai đoạn 1: Khôi phục một phần chức năng (để người dùng tránh bị thanh lý). Giai đoạn 2: Buộc thanh lý vị trí của kẻ tấn công. Giai đoạn 3: Tiến hành đánh giá bảo mật toàn diện để ngăn chặn các sự cố tương tự xảy ra lần nữa. Giai đoạn 4: Phục hồi hoàn toàn các hoạt động của sao Kim. Phản ứng của cộng đồng? 100% nhất trí. Không phải 99%. Cũng không phải 98%. Mọi phiếu bầu đều ủng hộ kế hoạch hành động của Venus, như thể đó là một phiên bản DeFi nào đó của kết quả bầu cử của Triều Tiên. Có lẽ đây là một sự đồng thuận thực sự, hoặc có lẽ nó là vì tự bảo vệ. Hoặc khi thỏa thuận của bạn đang tiêu tốn hàng triệu đô la và đối thủ cạnh tranh vây quanh bạn như kền kền, bất đồng trở thành một thứ xa xỉ mà không ai có thể mua được. Đến buổi chiều, Venus được trao quyền. Những gì tiếp theo là hoạt động thanh lý gây tranh cãi nhất trong lịch sử DeFi: một hoạt động yêu cầu bỏ qua các quy tắc hợp đồng thông minh để cưỡng bức chiếm đoạt tài sản thế chấp của kẻ tấn công. Nạn nhân đang gặp khủng hoảng vì ký giao dịch sai, và Venus sắp ký vào "giấy chứng tử của dân chủ". Điều gì xảy ra khi "mã là luật" gặp thẩm quyền khẩn cấp? Hành động hồi sức 21:36 UTC. Trong vụ trộm xảy ra mười hai ...