Tóm tắt ngắn gọn
- Lỗ hổng SwapNet làm mất khoảng 16,8 triệu USD sau khi người dùng tắt các biện pháp bảo vệ phê duyệt một lần.
- Tấn công đã đổi 10,5 triệu USD USDC sang ETH trên Base trước khi chuyển sang Ethereum.
- Matcha Meta tạm thời vô hiệu hóa các hợp đồng bị ảnh hưởng khi các công ty an ninh cảnh báo về rủi ro DeFi rộng hơn.
Một vụ vi phạm an ninh liên quan đến SwapNet đã dẫn đến thiệt hại khoảng 16,8 triệu USD, ảnh hưởng đến người dùng tương tác qua Matcha Meta. Sự cố chủ yếu ảnh hưởng đến người dùng đã tắt các phê duyệt một lần, từ đó làm lộ ra các quyền token liên tục.
Công ty an ninh blockchain PeckShieldAlert đã xác định lỗ hổng và theo dõi các hoạt động chuyển tiền ban đầu. Kẻ tấn công nhắm vào các hợp đồng router của SwapNet giữ quyền phê duyệt không giới hạn từ các ví người dùng bị ảnh hưởng.
Trên mạng lưới Base, kẻ tấn công đã đổi khoảng 10,5 triệu USD USDC lấy khoảng 3.655 ETH. Ngay sau đó, kẻ tấn công bắt đầu chuyển các tài sản đã đổi sang mainnet Ethereum để làm phức tạp việc theo dõi.
SwapNet hoạt động như một router thanh khoản được Matcha Meta sử dụng để lấy giá và thanh khoản sâu. Lỗ hổng liên quan đến việc lợi dụng các quyền phê duyệt hiện có thay vì xâm nhập vào khóa riêng hoặc hạ tầng cốt lõi.
Matcha Meta, do đội ngũ 0x xây dựng, xác nhận vấn đề và ngay lập tức vô hiệu hóa các hợp đồng SwapNet bị ảnh hưởng. Nền tảng cũng đã loại bỏ tùy chọn cho phép người dùng cấp quyền trực tiếp cho các nhà tổng hợp bên thứ ba.
Điều tra mở rộng khi các công ty an ninh cảnh báo về rủi ro rộng hơn
Phân tích thêm cho thấy lỗ hổng bắt nguồn từ một lỗ hổng gọi tùy ý trong các hợp đồng SwapNet. Lỗi này cho phép kẻ tấn công chuyển các token đã được phê duyệt mà không cần yêu cầu quyền mới.
Công ty an ninh BlockSec báo cáo rằng nhiều hợp đồng trên các chuỗi đã chịu thiệt hại vượt quá 17 triệu USD. Các mạng bị ảnh hưởng gồm Ethereum, Arbitrum, Base và BNB Chain, làm tăng phạm vi của sự cố.
Riêng CertiK ước tính số tiền bị đánh cắp gần 13,3 triệu USD USDC từ các hoạt động liên quan.
Một số hợp đồng liên quan vẫn còn mã nguồn mở và chưa được xác minh khi triển khai.
Matcha Meta sau đó xác nhận rằng các hợp đồng cốt lõi của 0x không bị ảnh hưởng bởi sự cố.
Người dùng dựa vào các phê duyệt một lần qua hạ tầng 0x vẫn không bị ảnh hưởng.
Sự cố này đã làm nổi bật vấn đề về các quyền token liên tục trong tài chính phi tập trung.
Quyền hạn không giới hạn mang lại tiện lợi nhưng cũng làm tăng rủi ro trong các thất bại của hợp đồng thông minh.
Trong khi đó, nhà điều tra on-chain ZachXBT chỉ trích phản ứng chậm của Circle trong việc phong tỏa số USDC còn lại. Khoảng 3 triệu USD được cho là vẫn còn tại các địa chỉ đủ điều kiện để phong tỏa trong thời gian phản hồi.
Lỗ hổng này góp phần vào danh sách ngày càng tăng các thất bại về an ninh DeFi đầu năm 2026. Dữ liệu ngành cho thấy số tiền crypto bị đánh cắp đạt mức kỷ lục trong những năm gần đây, gia tăng áp lực lên các thực hành bảo mật của các giao thức.
|
| LƯU Ý: Thông tin trên trang web này được cung cấp như một bình luận chung về thị trường và không cấu thành lời khuyên đầu tư. Chúng tôi khuyên bạn tự nghiên cứu trước khi đầu tư. |
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Hợp đồng GatewayEVM của ZetaChain bị khai thác trong cuộc tấn công xuyên chuỗi, vụ việc lớn thứ hai trong tháng này
Tin tức từ Gate, ngày 28 tháng 4 — ZetaChain, một mạng blockchain Layer 1, đã tiết lộ vào ngày 27 tháng 4 rằng hợp đồng GatewayEVM của họ đã bị nhắm mục tiêu trong một cuộc tấn công xuyên chuỗi. GatewayEVM là một hợp đồng thông minh xuyên chuỗi đóng vai trò cổng kết nối để ZetaChain trao đổi tài sản và tin nhắn với các blockchain bên ngoài blockc
GateNews2giờ trước
Khi DeFi quá chậm đối với người trẻ, còn quá nguy hiểm đối với tiền cũ: rốt cuộc chúng ta đang dùng lãi suất trái phiếu chính phủ để gánh rủi ro của nợ xấu rác sao?
DeFi từng thu hút người trẻ bằng APY năm chữ số; nay bị cho là định giá quá mức và rủi ro quá cao. Trong năm qua đã bị đánh cắp hơn 1,62 tỷ đô la Mỹ, Aave từng khiến lãi suất vọt lên 12,4%. Lợi suất hợp lý khoảng 12,55%, ngưỡng dành cho nhà đầu tư lẻ là 18%, và các tổ chức ưu tiên “chiến lược tách biệt kho tiền” để giảm rủi ro đuôi. Kết luận: đòn bẩy cao đã không còn, tương lai cần định giá rủi ro cao hơn và các công cụ bảo hiểm, để có thể đồng thời đáp ứng người trẻ và “tiền của kẻ kỳ cựu”.
ChainNewsAbmedia17giờ trước
Robinhood Cảnh Báo Email Lừa Đảo Được Gửi Tới Một Số Khách Hàng
Tin tức từ Cổng, ngày 27 tháng 4 — Robinhood đã cảnh báo người dùng trên mạng xã hội rằng một số khách hàng đã nhận được email lừa đảo vào tối Chủ nhật tuần trước, với nội dung giả mạo được cho là từ noreply@robinhood.com và dòng tiêu đề "Your recent login to Robinhood."
Âm mưu lừa đảo bắt nguồn từ việc lạm dụng quy trình tạo tài khoản, chứ không phải từ việc hệ thống của công ty hoặc tài khoản khách hàng bị xâm phạm. Robinhood xác nhận rằng thông tin cá nhân và tiền của khách hàng không bị ảnh hưởng.
GateNews17giờ trước
Sàn giao dịch Websea Crypto Bị Nghi Ngờ Làm Lừa Đảo Rút Lui, Đóng Các Kênh Rút Tiền
Tin từ Gate News, ngày 27 tháng 4 — Nền tảng giao dịch tiền mã hóa Websea đã tạm dừng rút tiền và đóng các kênh C2C (peer-to-peer), với nhiều người dùng phản ánh rằng sàn giao dịch dường như đã thực hiện một vụ lừa đảo rút lui (exit scam). Nền tảng này ban đầu đã hạn chế rút tiền trước khi hoàn toàn ngừng hoạt động kênh C2C, khiến việc bán tháo hoảng loạn token gốc của nền tảng giảm xuống khoảng 50% so với giá trị trước đó.
GateNews18giờ trước
Token RAVE Tăng Vọt 110 Lần Trong Hai Tuần, Rồi Sụp Đổ 98% Giữa Các Cáo Buộc Thao Túng Thị Trường
Tin tức Gate, ngày 27 tháng 4 — RAVE, token gốc của dự án cộng đồng văn hóa dựa trên Web3 của RaveDAO (a project), đã tăng vọt 110 lần trong hai tuần trước khi lao dốc 98% chỉ trong hai ngày vào ngày 19-20 tháng 4, khiến người ta so sánh với vụ bê bối thao túng cổ phiếu Lubo khét tiếng năm 2007 ở Hàn Quốc.
Vào ngày 18 tháng 4, RAVE r
GateNews21giờ trước
Giám đốc điều hành sàn giao dịch tiền mã hóa của Ba Lan Zondacrypto bỏ trốn sang Israel khi cuộc điều tra gian lận ngày càng sâu rộng hơn với $97M Fraud Probe Deepens
Công tố viên Ba Lan đã mở một cuộc điều tra gian lận đối với sàn giao dịch tiền mã hóa Zondacrypto sau khi giám đốc điều hành Przemysław Kral rời đi đến Israel, nơi quốc tịch của ông có thể ngăn việc dẫn độ, khiến tới 30.000 người dùng có thể chịu thiệt hại liên quan đến một ví lạnh không thể truy cập, nắm giữ 4.500
Coinpedia04-25 21:33
