Tóm tắt ngắn gọn
- Lỗ hổng SwapNet làm mất khoảng 16,8 triệu USD sau khi người dùng tắt các biện pháp bảo vệ phê duyệt một lần.
- Tấn công đã đổi 10,5 triệu USD USDC sang ETH trên Base trước khi chuyển sang Ethereum.
- Matcha Meta tạm thời vô hiệu hóa các hợp đồng bị ảnh hưởng khi các công ty an ninh cảnh báo về rủi ro DeFi rộng hơn.
Một vụ vi phạm an ninh liên quan đến SwapNet đã dẫn đến thiệt hại khoảng 16,8 triệu USD, ảnh hưởng đến người dùng tương tác qua Matcha Meta. Sự cố chủ yếu ảnh hưởng đến người dùng đã tắt các phê duyệt một lần, từ đó làm lộ ra các quyền token liên tục.
Công ty an ninh blockchain PeckShieldAlert đã xác định lỗ hổng và theo dõi các hoạt động chuyển tiền ban đầu. Kẻ tấn công nhắm vào các hợp đồng router của SwapNet giữ quyền phê duyệt không giới hạn từ các ví người dùng bị ảnh hưởng.
Trên mạng lưới Base, kẻ tấn công đã đổi khoảng 10,5 triệu USD USDC lấy khoảng 3.655 ETH. Ngay sau đó, kẻ tấn công bắt đầu chuyển các tài sản đã đổi sang mainnet Ethereum để làm phức tạp việc theo dõi.
SwapNet hoạt động như một router thanh khoản được Matcha Meta sử dụng để lấy giá và thanh khoản sâu. Lỗ hổng liên quan đến việc lợi dụng các quyền phê duyệt hiện có thay vì xâm nhập vào khóa riêng hoặc hạ tầng cốt lõi.
Matcha Meta, do đội ngũ 0x xây dựng, xác nhận vấn đề và ngay lập tức vô hiệu hóa các hợp đồng SwapNet bị ảnh hưởng. Nền tảng cũng đã loại bỏ tùy chọn cho phép người dùng cấp quyền trực tiếp cho các nhà tổng hợp bên thứ ba.
Điều tra mở rộng khi các công ty an ninh cảnh báo về rủi ro rộng hơn
Phân tích thêm cho thấy lỗ hổng bắt nguồn từ một lỗ hổng gọi tùy ý trong các hợp đồng SwapNet. Lỗi này cho phép kẻ tấn công chuyển các token đã được phê duyệt mà không cần yêu cầu quyền mới.
Công ty an ninh BlockSec báo cáo rằng nhiều hợp đồng trên các chuỗi đã chịu thiệt hại vượt quá 17 triệu USD. Các mạng bị ảnh hưởng gồm Ethereum, Arbitrum, Base và BNB Chain, làm tăng phạm vi của sự cố.
Riêng CertiK ước tính số tiền bị đánh cắp gần 13,3 triệu USD USDC từ các hoạt động liên quan.
Một số hợp đồng liên quan vẫn còn mã nguồn mở và chưa được xác minh khi triển khai.
Matcha Meta sau đó xác nhận rằng các hợp đồng cốt lõi của 0x không bị ảnh hưởng bởi sự cố.
Người dùng dựa vào các phê duyệt một lần qua hạ tầng 0x vẫn không bị ảnh hưởng.
Sự cố này đã làm nổi bật vấn đề về các quyền token liên tục trong tài chính phi tập trung.
Quyền hạn không giới hạn mang lại tiện lợi nhưng cũng làm tăng rủi ro trong các thất bại của hợp đồng thông minh.
Trong khi đó, nhà điều tra on-chain ZachXBT chỉ trích phản ứng chậm của Circle trong việc phong tỏa số USDC còn lại. Khoảng 3 triệu USD được cho là vẫn còn tại các địa chỉ đủ điều kiện để phong tỏa trong thời gian phản hồi.
Lỗ hổng này góp phần vào danh sách ngày càng tăng các thất bại về an ninh DeFi đầu năm 2026. Dữ liệu ngành cho thấy số tiền crypto bị đánh cắp đạt mức kỷ lục trong những năm gần đây, gia tăng áp lực lên các thực hành bảo mật của các giao thức.
|
| LƯU Ý: Thông tin trên trang web này được cung cấp như một bình luận chung về thị trường và không cấu thành lời khuyên đầu tư. Chúng tôi khuyên bạn tự nghiên cứu trước khi đầu tư. |
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Fantasy.top vụ rút tiền: nhà đầu tư thiên thần cáo buộc mất liên lạc, người sáng lập khẳng định chưa từng sử dụng một đồng nào
Người sáng lập Fantasy.top phủ nhận cáo buộc hoàn tiền cho nhà đầu tư thiên thần, nhấn mạnh rằng công ty đã vận hành dựa trên doanh thu từ sản phẩm trong hai năm qua và không sử dụng vốn của nhà đầu tư. Một số nhà đầu tư cho biết chưa nhận được báo cáo tài chính phù hợp và kêu gọi người sáng lập chịu trách nhiệm. Nền tảng này từng nhận được đánh giá tích cực, nhưng gần đây đã chuyển sang thị trường dự đoán, vẫn đang chờ đợi giải thích từ phía chính thức.
MarketWhisper4giờ trước
Fantasy.top sáng lập viên phủ nhận nghi vấn "Rug Pull mềm", khẳng định chưa sử dụng vốn của nhà đầu tư
Fantasy.top đối mặt với cáo buộc từ các nhà đầu tư thiên thần, cho rằng nhóm đã mất liên lạc và từ chối hoàn trả 50.000 USD, gây ra nghi vấn "Soft Rug Pull". Người sáng lập Travis Bickle phản bác rằng công ty hoạt động dựa trên doanh thu từ sản phẩm, không sử dụng vốn của nhà đầu tư. Nhiều nhà đầu tư nổi tiếng cũng cho biết đã gặp phải tình huống tương tự.
GateNews6giờ trước
YZi Labs yêu cầu CEA Industries phản hồi về các vấn đề vận hành và chấm dứt thỏa thuận quản lý tài sản 20 năm với 10X Capital
YZi Labs vào ngày 11 tháng 3 tuyên bố rằng CEA Industries đang đối mặt với khủng hoảng vận hành, thiếu đội ngũ quản lý chủ chốt và cơ sở hạ tầng, sự giám sát của hội đồng quản trị thất bại. YZi Labs yêu cầu hội đồng quản trị công khai phản hồi và điều tra ông Hans Thomas, đồng thời chấm dứt thỏa thuận với 10X Capital Asset Management.
GateNews18giờ trước
Bộ Tư pháp Hoa Kỳ điều tra Iran qua một sàn CEX toàn cầu lớn để tránh lệnh trừng phạt, liên quan đến hơn 1 tỷ USD khoản tiền đáng ngờ
Tin tức Gate News, ngày 11 tháng 3, Bộ Tư pháp Hoa Kỳ đang điều tra cách Iran sử dụng một sàn giao dịch tiền điện tử lớn toàn cầu để tránh các lệnh trừng phạt của Mỹ. Theo các tài liệu của công ty và những người am hiểu, cuộc điều tra nội bộ trước đó về dòng chảy của hơn 1 tỷ USD tiền đáng ngờ đã bị tạm dừng, số tiền này đã chảy qua nền tảng vào một mạng lưới cung cấp tài chính cho các tổ chức khủng bố được Iran hậu thuẫn (bao gồm cả lực lượng Houthi ở Yemen). Mục tiêu của cuộc điều tra là tập trung vào quá trình dòng chảy của các khoản tiền liên quan trên nền tảng này và các rủi ro về tuân thủ pháp luật.
GateNews19giờ trước
Một sàn CEX vi phạm quy định chống rửa tiền, đối mặt với hình thức xử phạt tạm ngưng dịch vụ khách hàng mới
Viện Tình báo Tài chính Hàn Quốc đã áp dụng các biện pháp trừng phạt đối với một sàn giao dịch tiền điện tử, do cho phép người dùng chuyển tiền đến các nền tảng nước ngoài chưa đăng ký và không thực hiện quy trình KYC, có thể đối mặt với việc tạm ngưng dịch vụ khách hàng mới trong 6 tháng. Sàn giao dịch này trước đó đã mất 40 tỷ USD Bitcoin do lỗi vận hành và hiện cũng đang bị điều tra về quản lý quảng cáo.
GateNews03-11 02:59
Sở Tài chính tỉnh Hồ Nam xác nhận YuZhi Finance đã hoàn toàn bỏ trốn, các cơ quan cảnh sát địa phương đã mở cổng đăng ký bảo vệ quyền lợi
Tin tức Gate News, ngày 10 tháng 3, Sở Tài chính tỉnh Hồ Nam xác nhận rằng Công ty Tài chính Vũ Chí, với tên gọi "Giao dịch theo dõi tài sản ảo", đã hoàn toàn "bỏ trốn". Hiện tại, các cơ quan cảnh sát địa phương đã mở các kênh đăng ký bảo vệ quyền lợi, người dùng bị ảnh hưởng có thể đăng ký qua các kênh chính thức.
GateNews03-10 12:46
