Lỗ hổng bảo mật trong các giao thức DeFi Pythia Finance và Penpie đã gây ra khoản lỗ 90 triệu đô la và các vấn đề bảo mật đang ngày càng trở nên nghiêm trọng

Vào ngày 3 tháng 9, giao thức tài chính phi tập trung Pythia Finance đã bị tấn công reentrancy, khiến 53.000 đô la bị mất khỏi quỹ của mình. Pythia, một dự án stablecoin thuật toán sử dụng trí tuệ nhân tạo để quản lý kho bạc, đã trở thành nạn nhân của lỗ hổng này do lỗi trong chức năng "yêu cầu phần thưởng".

Kẻ tấn công liên tục gọi hàm này mà không cho phép hệ thống cập nhật số dư phần thưởng sau mỗi lần gọi, cho phép chúng thu thập phần thưởng vượt quá quyền của chúng. Lỗ hổng này liên quan đến việc Pythia sử dụng hàm "chuyển giao an toàn" của mã thông báo trong quá trình phân phối phần thưởng. Một hợp đồng mã thông báo độc hại đã khai thác điều này bằng cách khiến Pythia tham gia vào một vòng lặp, làm cạn kiệt tài nguyên của giao thức.

bài đọc liên quan：Kế hoạch bất động sản kỹ thuật số của Trump được công khai, ra mắt nền tảng mã hóa DeFiant Ones để thúc đẩy việc mã hóa tài sản trong thế giới thực (RWA

Quill Audits, một công ty bảo mật blockchain, đã báo cáo về sự cố này, lưu ý rằng cuộc kiểm toán một phần của họ đối với Pythia không cho thấy vấn đề bảo mật nào chưa được giải quyết, cho thấy nhóm có thể đã giải quyết được lỗ hổng sau cuộc tấn công. Các cuộc tấn công tái nhập, chẳng hạn như cuộc tấn công này, vẫn là mối đe dọa phổ biến trong lĩnh vực hợp đồng thông minh, nơi kẻ tấn công thao túng một chức năng trước khi thực thi mã của nó hoàn tất.

Ảnh chụp màn hình báo cáo kiểm toán một phần của Pythia. (Pythia/X).

Thiết bị mạng Zyxel khiến người dùng có nguy cơ bị hack

Trong khi đó, nhà sản xuất phần cứng mạng Zyxel đã tiết lộ một lỗ hổng nghiêm trọng vào ngày 4 tháng 9, có thể cho phép kẻ tấn công thực thi mã trên bộ định tuyến và điểm truy cập của người dùng. Lỗ hổng này phát sinh từ việc vô hiệu hóa không đúng các thành phần trong chương trình CGI, có khả năng cho phép thực thi lệnh trái phép thông qua cookie được tạo thủ công.

Lỗ hổng này gây ra rủi ro đáng kể cho người dùng ví tiền điện tử, vì mạng gia đình bị xâm phạm có thể dẫn đến tấn công giả mạo DNS, chặn dữ liệu và tấn công kỹ thuật xã hội. Zyxel đã công bố danh sách các thiết bị bị ảnh hưởng và kêu gọi người dùng cập nhật chương trình cơ sở của họ để giảm thiểu rủi ro này.

bài đọc liên quan：RDX Works, Nhà phát triển nền tảng Radix DeFi, triển khai cắt giảm 15% nhân sự trong bối cảnh các biện pháp cắt giảm chi phí

Penpie Exploit gây ra thiệt hại 27 triệu đô la

Một sự cố lớn khác trong không gian DeFi liên quan đến giao thức Penpie, đã bị khai thác 27 triệu đô la vào ngày 3 tháng 9. Theo báo cáo của Zokyo, lỗ hổng nằm ở một chức năng cho phép bất kỳ người dùng nào tạo ra một Pendle Market. Kẽ hở này cho phép kẻ tấn công tạo ra một thị trường và nhóm giả mạo, bị thao túng để tạo ra phần thưởng có giá trị.

Kẻ tấn công đã khai thác lỗ hổng reentrancy trong hệ thống của Penpie, liên tục gọi hàm gửi tiền để thổi phồng phần thưởng trước khi rút tiền gửi. Lỗ hổng này đã tồn tại trong phiên bản trước của giao thức nhưng đã trở nên trầm trọng hơn do những thay đổi cho phép bất kỳ ai đăng ký một nhóm mới, một tính năng được giới thiệu sau khi kiểm toán của Zokyo.

Nhóm của Penpie đã thừa nhận vấn đề này, quy kết việc khai thác này là do sự giám sát trong các cuộc kiểm toán riêng biệt do các công ty bảo mật khác nhau thực hiện. Trong tương lai, họ có kế hoạch thực hiện các cuộc kiểm toán định kỳ để ngăn ngừa các sự cố trong tương lai.