Tóm tắt ngắn gọn
- Lỗ hổng SwapNet làm mất khoảng 16,8 triệu USD sau khi người dùng tắt các biện pháp bảo vệ phê duyệt một lần.
- Tấn công đã đổi 10,5 triệu USD USDC sang ETH trên Base trước khi chuyển sang Ethereum.
- Matcha Meta tạm thời vô hiệu hóa các hợp đồng bị ảnh hưởng khi các công ty an ninh cảnh báo về rủi ro DeFi rộng hơn.
Một vụ vi phạm an ninh liên quan đến SwapNet đã dẫn đến thiệt hại khoảng 16,8 triệu USD, ảnh hưởng đến người dùng tương tác qua Matcha Meta. Sự cố chủ yếu ảnh hưởng đến người dùng đã tắt các phê duyệt một lần, từ đó làm lộ ra các quyền token liên tục.
Công ty an ninh blockchain PeckShieldAlert đã xác định lỗ hổng và theo dõi các hoạt động chuyển tiền ban đầu. Kẻ tấn công nhắm vào các hợp đồng router của SwapNet giữ quyền phê duyệt không giới hạn từ các ví người dùng bị ảnh hưởng.
Trên mạng lưới Base, kẻ tấn công đã đổi khoảng 10,5 triệu USD USDC lấy khoảng 3.655 ETH. Ngay sau đó, kẻ tấn công bắt đầu chuyển các tài sản đã đổi sang mainnet Ethereum để làm phức tạp việc theo dõi.
SwapNet hoạt động như một router thanh khoản được Matcha Meta sử dụng để lấy giá và thanh khoản sâu. Lỗ hổng liên quan đến việc lợi dụng các quyền phê duyệt hiện có thay vì xâm nhập vào khóa riêng hoặc hạ tầng cốt lõi.
Matcha Meta, do đội ngũ 0x xây dựng, xác nhận vấn đề và ngay lập tức vô hiệu hóa các hợp đồng SwapNet bị ảnh hưởng. Nền tảng cũng đã loại bỏ tùy chọn cho phép người dùng cấp quyền trực tiếp cho các nhà tổng hợp bên thứ ba.
Điều tra mở rộng khi các công ty an ninh cảnh báo về rủi ro rộng hơn
Phân tích thêm cho thấy lỗ hổng bắt nguồn từ một lỗ hổng gọi tùy ý trong các hợp đồng SwapNet. Lỗi này cho phép kẻ tấn công chuyển các token đã được phê duyệt mà không cần yêu cầu quyền mới.
Công ty an ninh BlockSec báo cáo rằng nhiều hợp đồng trên các chuỗi đã chịu thiệt hại vượt quá 17 triệu USD. Các mạng bị ảnh hưởng gồm Ethereum, Arbitrum, Base và BNB Chain, làm tăng phạm vi của sự cố.
Riêng CertiK ước tính số tiền bị đánh cắp gần 13,3 triệu USD USDC từ các hoạt động liên quan.
Một số hợp đồng liên quan vẫn còn mã nguồn mở và chưa được xác minh khi triển khai.
Matcha Meta sau đó xác nhận rằng các hợp đồng cốt lõi của 0x không bị ảnh hưởng bởi sự cố.
Người dùng dựa vào các phê duyệt một lần qua hạ tầng 0x vẫn không bị ảnh hưởng.
Sự cố này đã làm nổi bật vấn đề về các quyền token liên tục trong tài chính phi tập trung.
Quyền hạn không giới hạn mang lại tiện lợi nhưng cũng làm tăng rủi ro trong các thất bại của hợp đồng thông minh.
Trong khi đó, nhà điều tra on-chain ZachXBT chỉ trích phản ứng chậm của Circle trong việc phong tỏa số USDC còn lại. Khoảng 3 triệu USD được cho là vẫn còn tại các địa chỉ đủ điều kiện để phong tỏa trong thời gian phản hồi.
Lỗ hổng này góp phần vào danh sách ngày càng tăng các thất bại về an ninh DeFi đầu năm 2026. Dữ liệu ngành cho thấy số tiền crypto bị đánh cắp đạt mức kỷ lục trong những năm gần đây, gia tăng áp lực lên các thực hành bảo mật của các giao thức.
|
| LƯU Ý: Thông tin trên trang web này được cung cấp như một bình luận chung về thị trường và không cấu thành lời khuyên đầu tư. Chúng tôi khuyên bạn tự nghiên cứu trước khi đầu tư. |
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Elon Musk’s X để triển khai công tắc tiêu diệt lừa đảo bằng cách tự động khóa những người nhắc đến tiền mã hóa lần đầu
Nền tảng mạng xã hội X sẽ tự động khóa các tài khoản nhắc đến tiền mã hóa lần đầu tiên, yêu cầu xác minh bổ sung để ngăn chặn các trò lừa đảo phishing liên quan đến crypto. Biện pháp mới này nhằm loại bỏ động cơ cho các cuộc tấn công chiếm quyền tài khoản để quảng bá các token gian lận.
CoinDesk7giờ trước
four.meme do lỗi kỹ thuật tạm dừng việc tạo token theo chế độ thu phí, sẽ hoàn lại toàn bộ tiền cho người dùng bị ảnh hưởng
Thông báo bốn.meme: Do địa chỉ nhận thu phí dự án bắt đầu bằng 0x9f4 trong lệnh có khiếm khuyết, dẫn đến giao dịch bán bị thất bại. Đã tạm dừng chức năng tạo token liên quan và khuyến nghị người dùng ngừng giao dịch. Đồng thời, sẽ hoàn trả 100% cho các người dùng bị ảnh hưởng đã mua trước 22:50 ngày 3 tháng 4.
GateNews8giờ trước
Tải video riêng tư để tống tiền bằng tiền mã hóa? “Anh hùng vay” nhắm vào những người không còn đường lui, nếu vi phạm thì sẽ đăng lên OnlyFans
Một sản phẩm kết hợp tiền điện tử, nội dung người lớn và cơ chế cho vay rủi ro cao đã gây xôn xao trong cộng đồng crypto và các nền tảng mạng xã hội trong thời gian gần đây. Dự án có tên “Hero Loan (Anh hùng vay)”, quảng bá khẩu hiệu “Vay không cần tài sản thế chấp”, nhưng lại yêu cầu người dùng tải lên các video riêng tư làm điều kiện, đồng thời gắn rủi ro vỡ nợ với cơ chế kiếm tiền từ nền tảng dành cho người lớn—và đã được nhiều người dùng mạng mô tả là “naked loan phiên bản crypto”.
Thậm chí dự án còn dùng câu “Nếu bạn nghĩ rằng điều này sẽ không có ai dùng, thì có nghĩa là bạn vẫn chưa đi tới tận cùng tuyệt vọng” làm thông điệp quảng bá, nhắm rõ đến nhóm người dùng có rủi ro cao và áp lực tài chính cực lớn. Tuy nhiên, chỉ một thời gian ngắn sau khi bị phanh phui, một cư dân mạng cho biết đã gửi video nhưng không nhận được tiền, và KOL cũng phản hồi rằng dự án này nghi ngờ đã “chuồn chạy”.
Nhưng nói thật, video riêng tư chỉ đáng giá 60 đồng thì cũng quá thảm rồi.
“Anh hùng vay” nhắm đến những người không còn đường lui
Theo thông tin trên trang web chính thức, sản phẩm này vận hành trên BNB Chain, tập trung vào việc “dành cho những người đã không còn đường lui”
ChainNewsAbmedia9giờ trước
Leap Wallet sẽ ngừng hoạt động vào ngày 28 tháng 5, người dùng cần hoàn tất quá trình di chuyển càng sớm càng tốt
Tin tức từ Gate News: vào ngày 3 tháng 4, ứng dụng ví tiền mã hóa Leap Wallet thông báo rằng họ sẽ ngừng hoạt động vào ngày 28 tháng 5 và người dùng cần hoàn tất việc di chuyển tài sản càng sớm càng tốt. Phạm vi ngừng hoạt động bao gồm: Compass Wallet (phiên bản tiện ích mở rộng, iOS và Android), Leap WebApp, Swapfast, các node xác thực Leap Cosmos Hub và Leap Cosmos
GateNews20giờ trước
DRIFT (Drift Protocol) tăng 24,16% trong 24 giờ, hiện giá đạt 0,0561 USD
Tính đến ngày 3 tháng 4, giá DRIFT đã tăng 24,16%, hiện ở mức 0.0561 USD, vốn hóa vào khoảng 32.621,13 triệu USD. Drift Protocol, với tư cách là sàn giao dịch phi tập trung, thể hiện ưu thế vượt trội về tính an toàn và thanh khoản, nhưng do các sự kiện an ninh gần đây và các biện pháp kiểm soát rủi ro của sàn giao dịch tại Hàn Quốc, giao dịch bị hạn chế, khiến biến động thị trường gia tăng.
GateNews21giờ trước
Elon Musk’s X sẽ triển khai “kill switch” lừa đảo bằng cách tự động khóa những người nhắc đến crypto lần đầu
Nền tảng mạng xã hội X sẽ tự động khóa các tài khoản đề cập đến tiền mã hóa lần đầu tiên, yêu cầu xác minh bổ sung để ngăn chặn các vụ lừa đảo phishing về crypto. Biện pháp mới này nhằm loại bỏ động lực cho các cuộc tấn công chiếm quyền tài khoản để quảng bá các token gian lận.
CoinDesk04-02 15:41
