Blockaid đã phát hiện các tập lệnh xả ví độc hại trên trang web của nền tảng tổng hợp lợi suất DeFi Yield Yak vào ngày 24/6, đây là vụ xâm phạm giao diện người dùng thứ hai trong vài ngày sau một cuộc tấn công tương tự nhắm vào Gitcoin. Tên miền phụ vote.yieldyak.com bị xâm phạm có chứa mã từ Eleven drainer, một bộ công cụ chiếm quyền kết nối ví để đánh cắp tài sản. Cho đến thời điểm công bố, chưa có xác nhận về thiệt hại.
Blockaid đã phát hiện các tập lệnh xả ví độc hại trên trang web của nền tảng tổng hợp lợi suất DeFi Yield Yak vào ngày 24/6, đây là vụ xâm phạm giao diện người dùng thứ hai trong vài ngày sau một cuộc tấn công tương tự nhắm vào Gitcoin.
"Tên miền phụ vote.yieldyak.com đã bị xâm phạm với mã từ Eleven drainer, một bộ công cụ xả ví đánh lừa người dùng ký chuyển nhượng tài sản của họ," Blockaid cho biết trong một bài đăng trên X. "Điều này diễn ra sau sự cố hôm qua trên Gitcoin, vốn hoạt động theo cách tương tự."
Cuộc tấn công nhắm vào tên miền phụ bỏ phiếu của Yield Yak thay vì giao diện ứng dụng chính trên Avalanche. Theo thông tin trên Alchemy, giao thức này tự động gộp lợi nhuận từ farming phần thưởng và vận hành một trình tổng hợp sàn giao dịch phi tập trung. Tính đến thời điểm công bố, cả Blockaid và Yield Yak đều chưa tiết lộ số lượng ví bị ảnh hưởng hoặc tổng thiệt hại.
Vụ việc này làm gia tăng làn sóng các cuộc tấn công vào giao diện người dùng trong năm nay. Vào tháng 4, Blockaid đã ghi nhận hơn 629 triệu đô la Mỹ bị rút ra từ hơn 20 vụ việc, gọi đây là tháng tồi tệ nhất được ghi nhận đối với nạn trộm cắp tiền mã hóa. Đầu tháng 6, tin tặc đã khai thác lỗ hổng mô-đun bên thứ ba để đánh cắp khoảng 3,2 triệu đô la Mỹ từ 86 ví Safe, trong khi một vụ khai thác riêng rẽ nhà cung cấp thanh khoản TrustedVolumes dẫn đến thiệt hại 5,9 triệu đô la Mỹ.
Các vụ hack Yield Yak và Gitcoin nối tiếp một xu hướng tấn công vào các tên miền phụ thay vì giao diện ứng dụng chính. Vào tháng 2, OpenEden, Curvance và Maple Finance đều hứng chịu các cuộc tấn công giao diện người dùng trong vòng một tuần bằng cách sử dụng bộ công cụ xả ví khác có tên AngelFerno. Blockaid cho biết, sau các vụ khai thác nổi tiếng tại Drift Protocol và KelpDAO vào tháng 4, các nhà điều hành drainer đã tạo ra các tên miền giả mạo trong vòng vài giờ để chặn người dùng đang hoảng loạn tìm cách thu hồi phê duyệt token.
Những người dùng đã truy cập vote.yieldyak.com và kết nối ví có thể đã vô tình phê duyệt các giao dịch độc hại. Blockaid cho biết các hợp đồng thông minh cơ bản trên nền tảng chính của Yield Yak vẫn không bị ảnh hưởng. Người dùng nghi ngờ bị lộ nên thu hồi các phê duyệt token đã cấp trong phiên đó và theo dõi ví để phát hiện các giao dịch chuyển tiền trái phép. Việc các tên miền phụ liên tục bị xâm phạm cho thấy một lỗ hổng trong cách các giao thức DeFi quản lý cơ sở hạ tầng web của họ, khi tin tặc ngày càng nhắm vào các điểm truy cập phụ có thể nhận được ít sự giám sát bảo mật hơn so với các nền tảng chính.
Bài viết này chỉ mang tính chất tham khảo và không cấu thành lời khuyên đầu tư.
