Sàn giao dịch Trade.io bị tấn công, 7.5 triệu USD bốc hơi

in #hacker6 years ago

Sàn giao dịch Trade.io bị tấn công, 7.5 triệu USD bốc hơi

Sàn giao dịch tiền điện tử Trade.io mất 7.5 triệu USD vào cuối tuần, sau khi phát hiện ra rằng một hacker đang rút tiền từ ví lưu trữ lạnh của họ. Được biết không có người dùng nào bị ảnh hưởng.

image.png

Cuối tuần qua, sàn giao dịch tiền điện tử Trade.io đã thông báo rằng họ vừa trở thành nạn nhân của một vụ tấn công. 50 triệu token ERC-20 (đồng coin riêng) của Trade.io – Trade (TIO) – trị giá 7.5 triệu USD đã bị đánh cắp. Vào ngày 20 tháng 10 năm 2018, nhóm bảo mật Trade.io đã chia sẻ một thông cáo báo chí để giải thích những gì đã xảy ra:

Nhóm bảo mật Trade.io đã được cảnh báo về một giao dịch lớn có nguồn gốc từ ví của chúng tôi (trong chiếc ví giữ 50 triệu Trade (TIO) thuộc sở hữu của Trade.io dành riêng cho bể thanh khoản). Ngay sau cảnh báo, nhóm giám sát thương mại của chúng tôi đã quan sát thấy giao dịch TIO bất thường trên sàn giao dịch ở nước ngoài. Những sàn giao dịch này ngay lập tức được cảnh báo để vô hiệu hóa các khoản tiền gửi / rút tiền và giao dịch của TIO, và đội ngũ an ninh của chúng tôi bắt đầu điều tra.

Thông cáo báo chí cũng nêu chi tiết cách mà các nhóm KuCoin và Bancor “phản ứng kịp thời” và ngừng giao dịch trên nền tảng của họ. Điều này có thể có nghĩa là tin tặc đã gửi tiền bị đánh cắp đến các sàn giao dịch này để bắt đầu ‘rửa tiền’. Rất may cho khách hàng, số tiền đã được lấy từ ví của Trade.io mà không phải từ ví của người dùng. Những token này được dùng để cung cấp khả năng thanh toán cho việc giao dịch của họ và cũng tài trợ cho sự phát triển của công ty.

Hiện tại chưa rõ Trade.io bị hack như thế nào.

Trong báo cáo ở trên, họ giải thích rằng số tiền đã được lưu trữ trong một đơn vị lưu trữ lạnh. Những ví lạnh, khi hoạt động chính xác, gần như không thể bị crack. Có khả năng là hacker đã vào ví lạnh của họ, nhưng không chắc. Giám đốc điều hành Trade.io Jim Preissler giải thích rằng các ví lạnh được lưu trữ trong các két gửi tiền an toàn tại các ngân hàng, và rằng “chúng tôi đã xác nhận rằng các két an toàn không bị tổn hại.”

Nếu không có vấn đề với lưu trữ của họ, thì có khả năng là hacker đã tìm thấy một lỗ hổng trong hợp đồng thông minh của token. Theo cách tương tự với những gì đã xảy ra trongvụ tấn công của Ethereum DAO, hacker có thể đã xác định được lỗ hổng trong hợp đồng token cho phép họ rút token mà không cần sở hữu chúng.

Tương tự với vụ tấn công The DAO, nhóm Trade.io đang có kế hoạch chia nhỏ token của họ. Token mới sẽ được đặt tên là TIOx. Vẫn chưa có thêm thông tin chi tiết nào được công bố vào ngày hôm nay.