Lúc 1:49:05 AM (giờ UTC), ngày 4/8/2021 – lúc 7:49:05 PM (giờ Việt Nam), một cuộc tấn công đã diễn ra vào cơ chế pegging của WUSD. Xem lại chi tiết của cuộc tấn công trong bài viết của Inspex.
Sơ lược về sự cố WUSD
Khi biết về cuộc tấn công, nhóm Wault đã nhanh chóng tắt tính năng mint WUSD trên giao diện người dùng và làm việc với ba công ty kiểm toán để điều tra bản chất của cuộc tấn công và phạm vi của lỗ hổng bảo mật, sớm xác định còn quỹ nào gặp rủi ro hay không.
Kẻ tấn công đã thu được khoảng $816k từ hợp đồng WUSDMaster sau cuộc tấn công. Tuy nhiên, 90% tài sản thế chấp USDT cho WUSD cũng như kho bạc không bị ảnh hưởng, nhờ vào thiết kế hai phần quỹ này được tách biệt và an toàn trong mọi điều kiện. Tất cả các pool và sản phẩm khác trong Wault cũng không bị gì và tiếp tục hoạt động hiệu quả.
Ngay ngày hôm sau, team đã phát triển một giải pháp cho lỗ hổng bảo mật và mô phỏng nó với các kiểm toán viên, xác nhận rằng nó sẽ loại bỏ vectơ tấn công và làm cho WUSD an toàn.
Trước hết, WaultFinance muốn gửi lời xin lỗi đến những người dùng đang chịu ảnh hưởng bởi cuộc tấn công này. Mặc dù đã thực hiện hai cuộc kiểm tra trước khi tung code, nhưng không ai lường trước được điều gì. May mắn thay, sự cố đã xảy ra khá sớm nên họ có cơ hội khắc phục và đưa ra giải pháp đền bù cho người dùng trước khi nguồn cung lưu hành của WUSD tăng thêm.
Giải pháp
WaultFinance sẽ triển khai những tính năng sau để “vá” lỗ hổng bảo mật và đảm bảo WUSD vẫn hoạt động bình thường.
- Mint Timelock (1 block): Để ngăn chặn các cuộc tấn công flash loan, khi ai đó mint WUSD, họ sẽ chỉ nhận được một block duy nhất.
- Redeem Timelock (1 block): Để ngăn chặn các cuộc tấn công flash loan, khi ai đó redeem WUSD, họ cũng sẽ chỉ nhận được một block duy nhất.
- Phí mint: WaultFinance sẽ chuyển phí giao dịch 0.2% từ việc mua lại thành phí mint 0.2% để giảm thiểu các cuộc tấn công chênh lệch giá tiềm năng.
- Bán WEX khi Redeem: Cũng giống như cách giao thức mua WEX trên cơ sở mint, WaultFinance sẽ bán WEX khi mua lại. Điều này sẽ giúp ngăn chặn các cuộc tấn công thao túng giá.
Các tính năng này sẽ được kiểm tra chi tiết vào tuần tới.
Bồi thường
Điều đầu tiên chúng ta cần làm rõ là không có quỹ nào bị đánh cắp hay bị lỗi trong quá trình mint (đúc). Kẻ tấn công đã thu lợi bằng cách thao túng giá WEX. Sau đó, một số người dùng với tâm lý lo sợ đã bán và mua lại WUSD, điều này đã khiến cho phần lớn WEX giảm giá.
Để giải quyết điều này, Wault sẽ thực hiện một số biện pháp để đưa giá WUSD và WEX trở lại đúng hướng.
Cơ chế ổn định của WUSD khi làm việc
Hiện tại, các khoản đổi WUSD được trả lại ít hơn 1 USD vì không có đủ WEX trong hợp đồng. Tuy nhiên, ngay cả trong cuộc tấn công, giá WUSD cũng không bao giờ giảm xuống dưới 0.91 vì mô hình tài sản thế chấp giúp giá được giữ vững. Điều này giúp WUSD ổn định hơn nhiều stablecoin khác khi ra mắt và chúng không bị tấn công, chứng tỏ rằng mô hình hoạt động của WUSD rất ổn định.
Cơ chế ổn định 1 – Treasury (Kho bạc)
90% tài sản thế chấp USDT đã được coi là một sàn mạnh, vì vậy tất cả những gì chúng ta phải làm bây giờ là lấp đầy phần WEX. Bước đầu tiên WaultFinance sẽ mua lại và đốt số tiền WEX trị giá 141 nghìn USD từ kho bạc.
Kho bạc sẽ tiếp tục lấp đầy từ các cơ chế ổn định dưới đây cho đến khi nó khôi phục mức peg và sau đó tiếp tục phát triển như một bộ đệm trong tương lai.
Cơ chế ổn định 2 – Hỗ trợ phát thải qua WSwap
Do giá WUSD dưới 1 USD nên WaultFinance đang tăng dần phần phát thải WEX chuyển đến Kho bạc WUSD (tổng lượng phát thải WEX không đổi). Phần này đang tăng lên và tiếp tục được nạp vào Kho bạc.
Cơ chế ổn định 3 – Hỗ trợ phí giao dịch WSwap
Họ đang tăng đều đặn phí giao dịch WSwap đối với Kho bạc từ 15%. Cùng với lượng phát thải, phí giao dịch này sẽ đóng vai trò mua lại và đốt liên tục trên WEX cho đến khi giá peg được khôi phục.
Cơ chế ổn định 4 – Hỗ trợ stake WUSD
Khi WUSD tiếp tục được cho phép mint, WaultFinance sẽ phân bổ lượng phát hành lành mạnh cho cặp WUSD-BUSD, điều này được kỳ vọng sẽ thu hút những minter mới để giúp nạp tiền vào Kho bạc.
Với những cơ chế này, tỷ giá WUSD sẽ được khôi phục trong vòng vài ngày và kho bạc sẽ tiếp tục phát triển để tạo ra một vùng đệm an toàn bổ sung.
Ngoài ra, WaultFinance đang trao đổi với các đối tác WPool trong tương lai và cung cấp cho họ các ưu đãi để ghép nối token của họ với WUSD cho các trang trại WPool, điều này sẽ tạo ra nhu cầu mua/ mint thêm đối với WUSD.
Khi WUSD đã hoạt động trở lại, điều đó sẽ giới hạn lại việc mua và khóa WEX khi nguồn cung lưu hành WUSD tăng lên. Cuối cùng, WaultFinance cũng sẽ nỗ lực để thúc đẩy WEX.
Mua lại với số lượng lớn và đốt
Họ sẽ dành nửa triệu USD từ sự kết hợp giữa quỹ phát triển của team, phí giao dịch và bao gồm phần lớn số tiền tấn công sẽ được dùng để sớm mua lại và đốt WEX. Không chỉ dừng lại ở đó, WaultFinance cũng đang nỗ lực cải thiện tính bảo mật.
Chương trình “Professional Bug Bounty” với Immunefi
WaultFinance sẽ triển khai chương trình “Professional Bug Bounty” với Immunefi, cung cấp lên tới $100k cho mạng lưới white hats của họ để giúp kiểm tra và bảo mật tất cả mã.
Mặc dù các cuộc kiểm toán không thể bất khả xâm phạm nhưng họ sẽ tiếp tục thực hiện chúng, bắt đầu từ tuần tới cho giải pháp trên WUSD.
Một lần nữa, WaultFinance xin lỗi người dùng vì sự cố không mong muốn này. Mặc dù đã cố gắng hết sức để có thể đảm bảo bảo mật bên trong và bên ngoài, nhưng DeFi đang phát triển nhanh đến mức không thể lường trước được một số sự cố đáng tiếc.
Biên tập và tổng hợp – Bitcoincuatoi
—
Theo dõi Facebook và Telegram Bitcoincuatoi để cập nhật những thông tin về tiền mã hóa!
Nhóm thảo luận: Facebook Group | Telegram Group
*Thông tin trong bài viết chỉ mang mục đích chia sẻ và cung cấp kiến thức, không phải là lời khuyên đầu tư. “Do your own research!” Hãy tự nghiên cứu trước khi đưa ra quyết định đầu tư.