Nhìn lại vụ hack ParaSpace: 5 triệu đô la được giải cứu, số tiền rút lớn bị khóa trong thời gian, hacker muốn trả lại phí

Nền tảng đặt cược tiền điện tử và NFT ParaSpace đã trải qua một nỗ lực khai thác gây rủi ro 5 triệu đô la, theo nhiều báo cáo vào ngày 17 tháng XNUMX.

ParaSpace xác nhận lỗ hổng

ParaSpace đã thừa nhận một cuộc tấn công vào các hợp đồng của mình vào đầu ngày. Nó đã tạm dừng giao thức của nó và sau đó cho biết nó đã đã tìm ra nguyên nhân khai thác.

Dự án cũng tuyên bố rằng tất cả tiền của người dùng, bao gồm cả NFT đều an toàn. ParaSpace đã mất từ ​​50 đến 150 ETH (dưới 270,000 USD) do trượt giá trong quá trình tấn công và phục hồi. ParaSpace cho biết họ sẽ bù đắp những tổn thất giao thức đó. Hơn nữa, họ nói rằng họ sẽ cung cấp tiền thưởng 5% cho BlockSec, công ty đã thông báo cho họ về vấn đề này.

Khi được hỏi về các cuộc kiểm toán trước đây, ParaSpace thừa nhận rằng vấn đề vẫn tồn tại mặc dù đã có XNUMX cuộc kiểm tra từ nhiều công ty — một số trong số đó mới xảy ra vài tháng trước.

ParaSpace cho biết họ đang khắc phục sự cố và lưu ý rằng việc tạm dừng giao thức sẽ tiếp tục cho đến khi kiểm tra thêm. Mặc dù ParaSpace chưa công bố thời gian kích hoạt lại, nhưng nó đã thêm một hạn chế khác: số tiền rút lớn sẽ bị khóa thời gian.

BlockSec chặn kẻ tấn công

Công ty bảo mật tiền điện tử BlockSec báo cáo đầu tiên về cuộc tấn công chống lại ParaSpace lúc 6:50 sáng UTC ngày 17 tháng 2,900. Vào khoảng thời gian đó, nó đã chặn được tin tặc và giải cứu 5 ETH (XNUMX triệu đô la). Công ty đã cố gắng liên hệ với ParaSpace nhưng không nhận được phản hồi.

Theo BlockSec, một lỗ hổng trong một trong các hợp đồng thông minh của ParaSpace đã cho phép kẻ tấn công mượn thêm các mã thông báo thông qua quy trình sáu bước.

BlockSec cũng tiết lộ trong các tuyên bố với Khối rằng nó đã sử dụng khai thác của chính hacker — thậm chí triển khai lại một phiên bản của hợp đồng tấn công ban đầu — để thu hồi số tiền bị đánh cắp một cách cưỡng bức. BlockSec đã giữ số tiền được giải cứu và trả lại cho ParaSpace.

Hacker sau đã gửi một tin nhắn đến BlockSec trong một giao dịch blockchain yêu cầu trả lại 0.7 ETH ($1,250) phí gas. Kẻ tấn công đã viết: “Tôi đã mất rất nhiều tiền khi cố gắng làm cho nó hoạt động” và nói thêm: “Thật tuyệt nếu lấy lại được ít nhất một số [số tiền đó].”

ParaSpace là một nền tảng cho phép người dùng đặt cược các tài sản khác, bao gồm cả mã thông báo không thể thay thế (NFT) và mã thông báo ERC-20. Trang web của nó quảng cáo Câu lạc bộ du thuyền Bored Ape (BAYC) đặt cược, mặc dù hai dự án không được liên kết chính thức.