Lại thêm một dự án trên Solana bị hack, thiệt hại 52,8 triệu USD - Liệu SOL có đang thật sự an toàn?

Độ ổn định cũng như tính bảo mật của blockchain Solana đang thật sự là dấu chấm hỏi rất lớn đối với nhà đầu tư khi vừa có thêm một dự án bị tấn công với mức thiệt hại khá nghiêm trọng trên nền tảng.

Lần này, ứng dụng DeFi dựa trên Solana là Cashio Dollar (CASH), giao thức cho phép người dùng đúc stablecoin trực tiếp, đã bị tấn công. Theo @0xavarek, nhà nghiên cứu crypto của sàn giao dịch Bybit, Cashio đã mất khoảng 52,8 triệu USD trong vụ hack.

Ngay sau đó, 0xghostchain, nhà phát triển đã khởi chạy nền tảng tiền phi tập trung, đã lên Twitter để tuyên bố với cộng đồng rằng đội ngũ dự án đang điều tra các vấn đề xảy ra trên Cashio.

Hóa ra đó là một “trục trặc trong quá trình tạo ra token vô hạn”, một sai sót lập trình khá nghiêm trọng từ các nhà phát triển Cashio, cho phép hacker này đúc token mà không cần cung cấp tài sản thế chấp. Do đó, tin tặc đã lợi dụng lỗ hổng để đúc 2 tỷ CASH từ 2 tỷ token không xác định của mình.

Trong số 2 tỷ CASH đó, hacker đã sử dụng nền tảng của Cashio để đốt một phần token CASH mới được đúc cho tất cả LP token đại diện cho USDT-USDC trong các khoản tiền gửi của Cashio, nhằm hút thanh khoản một cách hiệu quả. Sau đó, hacker hoán đổi số LP token này thông qua giao thức Saber với giá lần lượt là 16,4 triệu USDC và 10,8 triệu USDT.

Tiếp đến hacker tiến hành swap phần token CASH còn lại để lấy tương ứng 8,6 triệu UST và 17 triệu USDC thông qua Saber, ngay lập tức làm giá CASH trên thị trường lao thẳng xuống 0.

Không những vậy, ngay khi rút 52,8 triệu USD thông qua USDC, USDT và UST từ Cashio lẫn Saber, hacker còn lập tức chuyển 15,3 triệu USDC và USDT thành 3.773,9737 ETH qua Jupiter. Số ETH này lại chia nhỏ thành 3 giao dịch chuyển đến một địa chỉ Eth khác thông qua cầu nối cross-chain Wormhole.

Theo đó, 21 triệu USDC tiếp tục được chuyển thành 20,5 triệu UST thông qua Jupiter. 29 triệu USDC cùng với 7,9 triệu USDC còn lại đều được chuyển đến cùng một địa chỉ ví Ethereum, cũng thông qua Wormhole. Tại thời điểm thực hiện bài viết, tin tặc đã chuyển tổng cộng 3.773,9737 ETH, 29.312.939,32 USD và 7.967.375,86 USDC đến địa chỉ ví Eth của mình, được gắn thẻ là “Cashio Exploiter” trên Etherscan.

Điều thú vị, hacker đã để lại một thông điệp khá “nhân từ” rằng những tài khoản nào dưới 100.000 USD đều được trả lại tiền, toàn bộ số tiền còn lại sẽ làm từ thiện. Dường như hacker thực sự đã giữ đúng lời hứa của mình khi bằng chứng cho thấy 10 trang dữ liệu lịch sử giao dịch chuyển cho các nạn nhân là minh bạch.

Song, những vụ hack trong không gian DeFi không phải là sự kiện quá mới mẻ đối với ngành crypto nói chung. Sở dĩ lĩnh vực này vẫn đang trong giai đoạn vô cùng sơ khai, từ đó trở thành miếng bánh béo bở để hacker trục lợi. Chỉ riêng trong năm 2021, tổng hợp các trường hợp tấn công DeFi đã gây thiệt hại đến 1,4 tỷ USD. Trong đó, đình đám nhất là vụ hack kỷ lục 611 triệu USD từ Poly Network, lỗ hổng smart contract của Compound khiến dự án bốc hơi 140 triệu USD và Cream Finance bị đánh cắp 117 triệu USD do tấn công flash loan.

Tuy nhiên, trọng tâm đáng chú ý ở đây lại xoay quanh câu chuyện về Solana, blockchain được kỳ vọng là đại diện sẽ thay thế Ethereum trong tương lai. Nhìn lại, Cashio (CASH) chỉ là trường hợp mới nhất của SOL. Trên thực tế, hồi tháng 8 năm 2021, Solend – một nền tảng cho vay lending của Solana đã bị hacker ghé thăm. Tiếp đến đầu năm 2022, đến lượt cầu nối cross-chain Wormhole trên Solana bị tấn công, thiệt hại lên đến 325 triệu USD và kênh Discord của các dự án NFT trên Solana cũng phải chịu kết cục tương tự.

Không những vậy, kể từ sự cố lịch sử “đứng hình” suốt 18 tiếng đồng hồ không hoạt động, Solana vẫn chưa có bất kỳ giải pháp nào đáng kể để khắc phục tình trạng. Mặt khác, CEO Solana Labs lại đưa ra tuyên bố có phần mẫu thuẫn rằng sẽ là chuyện bình thường nếu mạng SOL tiếp tục gặp phải sự cố. Vậy câu hỏi đặt ra hiện tại là liệu nhà đầu tư có đang cảm thấy an tâm với túi tiền của mình khi quyết định tin tưởng vào hệ sinh thái Solana?