Blockaid gắn cờ giao diện cow.fi của CoW Swap là độc hại, kêu gọi người dùng thu hồi quyền phê duyệt token và tránh dApp này trong bối cảnh một làn sóng tấn công giao diện DeFi rộng hơn.
Tóm tắt
- Blockaid gắn cờ giao diện chính cow.fi của CoW Swap là độc hại.
- Người dùng được kêu gọi thu hồi quyền phê duyệt token và tránh dApp ngay lập tức.
- Sự cố cho thấy làn sóng tấn công giao diện DeFi đang gia tăng trên nhiều giao thức lớn.
Công ty an ninh blockchain Blockaid đã cảnh báo rằng trang web chính COW.FI của CoW Swap bị xâm phạm trong một cuộc tấn công giao diện bị nghi ngờ, đánh dấu nỗ lực khai thác mới nhất mang tính nổi bật cao nhắm vào một giao diện giao dịch DeFi lớn.
Trong một thông báo được chia sẻ trên X, Blockaid cho biết hệ thống của mình “đã phát hiện một cuộc tấn công giao diện nhắm vào Cowswap” và xác nhận rằng tên miền cow.fi đã bị gắn cờ là độc hại trong các ví tích hợp Blockaid, khuyên người dùng “không nên ký các giao dịch và tránh tương tác với dApp cho đến khi vấn đề được khắc phục.”
Sau cảnh báo, các kênh cộng đồng của CoW Swap và các bình luận viên bảo mật độc lập đã thúc giục các nhà giao dịch đã kết nối ví với CoW Swap ngay lập tức thu hồi mọi quyền phê duyệt token còn hiệu lực và ngừng tương tác với giao diện của nền tảng cho đến khi có thông báo mới, dù các hợp đồng thông minh nền tảng chưa được báo cáo là bị xâm phạm.
🚨 Cảnh báo cộng đồng:
Hệ thống của Blockaid đã xác định một cuộc tấn công giao diện lên @CoWSwap.
Trang cow[.]fi đã bị gắn cờ là độc hại.
Tránh mọi tương tác với dApp ngay lập tức. pic.twitter.com/QKGk3DtPjH
— Blockaid (@blockaid_) April 14, 2026
Cảnh báo của Blockaid bổ sung vào làn sóng tấn công giao diện DeFi {#blockaid-alert-adds-to-defi-frontend-attack-wave}
Cảnh báo mới nhất của Blockaid xuất hiện trong bối cảnh gia tăng các cái gọi là chiếm quyền giao diện (frontend hijack), trong đó kẻ tấn công xâm phạm website hoặc DNS của một dự án thay vì các hợp đồng on-chain của nó, lặng lẽ thay lời nhắc giao dịch hợp pháp bằng những lời nhắc độc hại để rút cạn ví người dùng.linkedin+1
Vào tháng Hai, Blockaidreported đã ghi nhận một cuộc tấn công giao diện tương tự trên nền tảng token hóa OpenEden, cảnh báo người dùng “không nên ký các giao dịch và tránh tương tác với dApp cho đến khi vấn đề được khắc phục,” trong khi các sự cố riêng biệt gần đây cũng đã ảnh hưởng đến giao thức cho vay Curvance và công ty quản lý tài sản Maple Finance.
Như được nêu bật trong các hướng dẫn bảo mật DeFi của chính CoW Swap, các cuộc tấn công này nhắm vào “con người, thiết bị và hành vi giao dịch thay vì chỉ tấn công mã,” khiến các thói quen cơ bản như kiểm tra URL, dùng dấu trang trình duyệt và theo dõi quyền phê duyệt token trở nên quan trọng đối với cả người dùng lẻ lẫn người dùng chuyên nghiệp.
Các nền tảng bảo mật như Kerberus và các công cụ kiểu Revoke khuyến nghị người dùng thường xuyên rà soát và thu hồi quyền phê duyệt token sau bất kỳ sự cố nghi ngờ nào, nêu rõ rằng việc thu hồi “chỉ xóa quyền tương lai cho hợp đồng đó để di chuyển token của bạn” và không thể khôi phục các quỹ đã bị rút cạn.
Đối với các nhà giao dịch ForDeFi, sự cố CoW Swap nhấn mạnh một bài học vẫn lặp lại trong các bài đưa tin của crypto.news về khai thác sàn giao dịch, hack cầu nối và rút cạn giao thức: ngay cả khi các hợp đồng thông minh đã được kiểm toán vẫn còn nguyên vẹn, một giao diện bị xâm phạm vẫn có thể biến một lệnh swap thông thường thành mất toàn bộ ví nếu người dùng ký một cách mù quáng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Litecoin Chịu Tổn Thất Tái Tổ Chức Chuỗi Sâu Sau Vụ Tấn Công Zero-Day MWEB, Xóa Ba Giờ Lịch Sử
Tin tức Gate, ngày 26 tháng 4 — Theo Tổ chức Litecoin, Litecoin đã trải qua một cuộc tái tổ chức chuỗi sâu (reorg) vào thứ Bảy sau khi kẻ tấn công khai thác một lỗ hổng zero-day trong lớp bảo mật MimbleWimble Extension Block (MWEB). Lỗi này cho phép các node khai thác chạy phần mềm cũ
GateNews5giờ trước
Apecoin Insider Biến $174K Thành 2,45 triệu USD trong 1 ngày với giao dịch 14x ở cả hai phía của đợt tăng 80%
Một ví ẩn danh không có lịch sử giao dịch trước đó đã biến 174.000 USD trị giá ether thành 2,45 triệu USD bằng cách giao dịch Apecoin ở cả hai phía của một đợt tăng giá 80% trong vòng một ngày.
Các ý chính:
Ví 0x0b8a đã chuyển 174.000 USD ETH thành một lệnh long Apecoin có đòn bẩy, thoát gần mức đỉnh để thu về 1,79M
Coinpedia5giờ trước
Cảnh sát Hồng Kông triệt phá đường dây lừa đảo xuyên biên giới nhắm vào sinh viên ở nước ngoài, thu giữ tài sản trị giá HK$5M
Tin tức Cổng, ngày 26 tháng 4 — Cảnh sát Hồng Kông đã triệt phá một đường dây lừa đảo xuyên biên giới nhắm vào các sinh viên người Hoa ở nước ngoài đang du học, theo truyền thông địa phương. Tổ chức này mạo danh các quan chức thực thi pháp luật và ép nạn nhân đến Hồng Kông để mua các thỏi vàng với tư cách là "c
GateNews5giờ trước
Litecoin Reorg Hoàn Tác Khai Thác Lớp Riêng Tư MWEB
Litecoin đã trải qua một đợt tái tổ chức chuỗi sâu (deep chain reorganization) vào Thứ Bảy sau khi các kẻ tấn công khai thác một lỗ hổng zero-day trong lớp quyền riêng tư MimbleWimble Extension Block (MWEB), theo Quỹ Litecoin (Litecoin Foundation). Sự cố đã dẫn đến một đợt reorg kéo dài ba giờ đã xóa các giao dịch không hợp lệ khỏi chuỗi
CryptoFrontier11giờ trước
Lừa đảo trại máy tính Laptop Farm của các nhà phát triển IT Triều Tiên: Đồng phạm tại Mỹ bị tuyên 7-9 năm, trong hai năm thu về tổng cộng 2,8 tỷ USD
Fortune đưa tin Triều Tiên thông qua các trang trại máy tính xách tay trong lãnh thổ Mỹ, trong hai năm tích lũy khoảng 2,8 tỷ USD doanh thu để hỗ trợ vũ khí hạt nhân; khoản cống năm là 250–600 triệu USD. Hai bị cáo người Mỹ Kejia Wang và Zhenxing Wang lần lượt bị tuyên án 7,5 năm và 9 năm, liên quan đến hơn 100 công ty và 80 người bị giả mạo danh tính. Triều Tiên vận hành tại Mỹ thông qua danh tính Mỹ và các thiết bị cố định, trong đó phần lớn tiền được chuyển đổi qua kết hối bằng tiền mã hóa. Các chuyên gia cảnh báo rằng mạng lưới đồng phạm trong nước vẫn còn tồn tại; các doanh nghiệp cần tăng cường xác thực danh tính, theo dõi địa chỉ và phân tích múi giờ/IP.
ChainNewsAbmedia14giờ trước
Cảnh sát Hồng Kông cảnh báo làn sóng lừa đảo tiền mã hóa gia tăng; Hai phụ nữ mất 1,24 triệu USD trong những tuần gần đây
Tin tức Gate, ngày 25 tháng 4 — Hai phụ nữ ở Hồng Kông đã mất tổng cộng 9,7 triệu HK$ (US$1,24 triệu) cho các kẻ lừa đảo tiền mã hóa trong những tuần gần đây, khiến cảnh sát địa phương đưa ra cảnh báo công khai. Cảnh sát Hồng Kông cho biết có hơn 80 vụ lừa đảo trong chỉ một tuần, với tổng thiệt hại vượt quá HK$80 triệu (U
GateNews15giờ trước
