Tóm tắt ngắn gọn
- Lỗ hổng SwapNet làm mất khoảng 16,8 triệu USD sau khi người dùng tắt các biện pháp bảo vệ phê duyệt một lần.
- Tấn công đã đổi 10,5 triệu USD USDC sang ETH trên Base trước khi chuyển sang Ethereum.
- Matcha Meta tạm thời vô hiệu hóa các hợp đồng bị ảnh hưởng khi các công ty an ninh cảnh báo về rủi ro DeFi rộng hơn.
Một vụ vi phạm an ninh liên quan đến SwapNet đã dẫn đến thiệt hại khoảng 16,8 triệu USD, ảnh hưởng đến người dùng tương tác qua Matcha Meta. Sự cố chủ yếu ảnh hưởng đến người dùng đã tắt các phê duyệt một lần, từ đó làm lộ ra các quyền token liên tục.
Công ty an ninh blockchain PeckShieldAlert đã xác định lỗ hổng và theo dõi các hoạt động chuyển tiền ban đầu. Kẻ tấn công nhắm vào các hợp đồng router của SwapNet giữ quyền phê duyệt không giới hạn từ các ví người dùng bị ảnh hưởng.
Trên mạng lưới Base, kẻ tấn công đã đổi khoảng 10,5 triệu USD USDC lấy khoảng 3.655 ETH. Ngay sau đó, kẻ tấn công bắt đầu chuyển các tài sản đã đổi sang mainnet Ethereum để làm phức tạp việc theo dõi.
SwapNet hoạt động như một router thanh khoản được Matcha Meta sử dụng để lấy giá và thanh khoản sâu. Lỗ hổng liên quan đến việc lợi dụng các quyền phê duyệt hiện có thay vì xâm nhập vào khóa riêng hoặc hạ tầng cốt lõi.
Matcha Meta, do đội ngũ 0x xây dựng, xác nhận vấn đề và ngay lập tức vô hiệu hóa các hợp đồng SwapNet bị ảnh hưởng. Nền tảng cũng đã loại bỏ tùy chọn cho phép người dùng cấp quyền trực tiếp cho các nhà tổng hợp bên thứ ba.
Điều tra mở rộng khi các công ty an ninh cảnh báo về rủi ro rộng hơn
Phân tích thêm cho thấy lỗ hổng bắt nguồn từ một lỗ hổng gọi tùy ý trong các hợp đồng SwapNet. Lỗi này cho phép kẻ tấn công chuyển các token đã được phê duyệt mà không cần yêu cầu quyền mới.
Công ty an ninh BlockSec báo cáo rằng nhiều hợp đồng trên các chuỗi đã chịu thiệt hại vượt quá 17 triệu USD. Các mạng bị ảnh hưởng gồm Ethereum, Arbitrum, Base và BNB Chain, làm tăng phạm vi của sự cố.
Riêng CertiK ước tính số tiền bị đánh cắp gần 13,3 triệu USD USDC từ các hoạt động liên quan.
Một số hợp đồng liên quan vẫn còn mã nguồn mở và chưa được xác minh khi triển khai.
Matcha Meta sau đó xác nhận rằng các hợp đồng cốt lõi của 0x không bị ảnh hưởng bởi sự cố.
Người dùng dựa vào các phê duyệt một lần qua hạ tầng 0x vẫn không bị ảnh hưởng.
Sự cố này đã làm nổi bật vấn đề về các quyền token liên tục trong tài chính phi tập trung.
Quyền hạn không giới hạn mang lại tiện lợi nhưng cũng làm tăng rủi ro trong các thất bại của hợp đồng thông minh.
Trong khi đó, nhà điều tra on-chain ZachXBT chỉ trích phản ứng chậm của Circle trong việc phong tỏa số USDC còn lại. Khoảng 3 triệu USD được cho là vẫn còn tại các địa chỉ đủ điều kiện để phong tỏa trong thời gian phản hồi.
Lỗ hổng này góp phần vào danh sách ngày càng tăng các thất bại về an ninh DeFi đầu năm 2026. Dữ liệu ngành cho thấy số tiền crypto bị đánh cắp đạt mức kỷ lục trong những năm gần đây, gia tăng áp lực lên các thực hành bảo mật của các giao thức.
|
| LƯU Ý: Thông tin trên trang web này được cung cấp như một bình luận chung về thị trường và không cấu thành lời khuyên đầu tư. Chúng tôi khuyên bạn tự nghiên cứu trước khi đầu tư. |
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
41 Vụ bắt cóc tiền mã hóa ở Pháp trong 3,5 tháng; Durov đổ lỗi rò rỉ dữ liệu
Tin cổng Gate, ngày 24 tháng 4 — Pháp đã ghi nhận 41 vụ bắt cóc đối với người nắm giữ tiền mã hóa chỉ trong 3,5 tháng đầu năm 2026, theo Pavel Durov, nhà sáng lập Telegram, người cho rằng sự gia tăng là do rò rỉ dữ liệu trên diện rộng. Durov nêu bật trong một bài đăng trên X rằng dữ liệu cá nhân nhạy cảm—bao gồm thông tin do cơ quan thuế nắm giữ và từ một vụ vi phạm lớn tại Cơ quan Tài liệu An toàn của Pháp—đã làm lộ tên, địa chỉ và số điện thoại của khoảng 19 triệu người, khiến những người nắm giữ tài sản số trở thành mục tiêu dễ bị tổn thương hơn.
GateNews11giờ trước
Sàn giao dịch Zondacrypto vướng cáo buộc biển thủ 350 triệu USD, CEO công khai phủ nhận
Một trong những sàn giao dịch tiền mã hóa lớn nhất tại Ba Lan, CEO của Zondacrypto là Przemysław Kral đã công khai tuyên bố trên mạng xã hội vào ngày 16 tháng 4 rằng sàn này không thể truy cập một ví chứa 4,503 Bitcoin, hiện có giá trị hơn 350 triệu USD. Ông Kral đã công bố địa chỉ ví liên quan để bác bỏ cáo buộc biển thủ, nhưng ngay sau sự tiết lộ này, đã xảy ra tình trạng rút tiền hàng loạt.
MarketWhisper04-24 02:59
CryptoQuant: KelpDAO bị khai thác lỗ hổng, một trong những cuộc khủng hoảng nghiêm trọng nhất kể từ năm 2024, Aave TVL giảm 33%
Theo đánh giá của CryptoQuant vào ngày 23 tháng 4, cuộc tấn công lỗ hổng của KelpDAO xảy ra trong tuần trước đã tạo ra rủi ro nợ xấu tiềm ẩn cho Aave trong vòng 72 giờ từ 124 triệu đến 230 triệu USD, TVL sụt giảm 33%, lãi suất vay đối với USDT và USDC đã tăng vọt từ 3,4% lên 14%, và lãi suất vay ETH đạt mức cao nhất kể từ tháng 1 năm 2024 là 8%.
MarketWhisper04-24 02:13
CoW DAO Đề Xuất Chương Trình Trợ Cấp Tùy Ý Để Bù Đắp Cho Nạn Nhân Bị Chiếm Quyền Điều Khiển Tên Miền
Tin tức Gate, ngày 24 tháng 4 — CoW DAO đã đề xuất thành lập một chương trình trợ cấp tùy ý để bù đắp cho người dùng đã chịu thiệt hại từ sự cố bị chiếm quyền điều khiển tên miền cow.fi vào ngày 14 tháng 4. Chương trình sẽ cung cấp hoàn trả thiệt hại lên đến 100% thông qua một lần phân bổ từ quỹ dự phòng bào chữa pháp lý
GateNews04-24 01:52
Sàn giao dịch lớn nhất của Ba Lan đối mặt với các cáo buộc lừa đảo $350M
Zondacrypto đang phải đối mặt với các cáo buộc chiếm dụng tiền, khi CEO của công ty, Przemysław Kral, cho biết sàn giao dịch đã mất quyền truy cập vào một ví có chứa hơn 4.500 BTC. Kral cho biết ví này đã được bán cho sàn giao dịch, nhưng chủ sở hữu cũ đã biến mất trước khi bàn giao các khóa riêng.
Khóa
Coinpedia04-23 23:43
JPMorgan: Các vụ khai thác bảo mật trong DeFi và TVL trì trệ giới hạn việc các tổ chức tham gia
Tin tức Gate, ngày 23 tháng 4 — Các nhà phân tích của JPMorgan do giám đốc điều hành Nikolaos Panigirtzoglou dẫn đầu cho biết việc khai thác (DeFi) phi tập trung dai dẳng và tăng trưởng yếu tiếp tục hạn chế sự quan tâm của các tổ chức đối với lĩnh vực này. Vụ hack Kelp DAO gần đây đã xóa khoảng $20 tỷ khỏi tổng giá trị bị khóa của DeFi TVL trong chỉ vài ngày, theo báo cáo hôm thứ Tư
GateNews04-23 17:53
