Tóm tắt ngắn gọn
- Lỗ hổng SwapNet làm mất khoảng 16,8 triệu USD sau khi người dùng tắt các biện pháp bảo vệ phê duyệt một lần.
- Tấn công đã đổi 10,5 triệu USD USDC sang ETH trên Base trước khi chuyển sang Ethereum.
- Matcha Meta tạm thời vô hiệu hóa các hợp đồng bị ảnh hưởng khi các công ty an ninh cảnh báo về rủi ro DeFi rộng hơn.
Một vụ vi phạm an ninh liên quan đến SwapNet đã dẫn đến thiệt hại khoảng 16,8 triệu USD, ảnh hưởng đến người dùng tương tác qua Matcha Meta. Sự cố chủ yếu ảnh hưởng đến người dùng đã tắt các phê duyệt một lần, từ đó làm lộ ra các quyền token liên tục.
Công ty an ninh blockchain PeckShieldAlert đã xác định lỗ hổng và theo dõi các hoạt động chuyển tiền ban đầu. Kẻ tấn công nhắm vào các hợp đồng router của SwapNet giữ quyền phê duyệt không giới hạn từ các ví người dùng bị ảnh hưởng.
Trên mạng lưới Base, kẻ tấn công đã đổi khoảng 10,5 triệu USD USDC lấy khoảng 3.655 ETH. Ngay sau đó, kẻ tấn công bắt đầu chuyển các tài sản đã đổi sang mainnet Ethereum để làm phức tạp việc theo dõi.
SwapNet hoạt động như một router thanh khoản được Matcha Meta sử dụng để lấy giá và thanh khoản sâu. Lỗ hổng liên quan đến việc lợi dụng các quyền phê duyệt hiện có thay vì xâm nhập vào khóa riêng hoặc hạ tầng cốt lõi.
Matcha Meta, do đội ngũ 0x xây dựng, xác nhận vấn đề và ngay lập tức vô hiệu hóa các hợp đồng SwapNet bị ảnh hưởng. Nền tảng cũng đã loại bỏ tùy chọn cho phép người dùng cấp quyền trực tiếp cho các nhà tổng hợp bên thứ ba.
Điều tra mở rộng khi các công ty an ninh cảnh báo về rủi ro rộng hơn
Phân tích thêm cho thấy lỗ hổng bắt nguồn từ một lỗ hổng gọi tùy ý trong các hợp đồng SwapNet. Lỗi này cho phép kẻ tấn công chuyển các token đã được phê duyệt mà không cần yêu cầu quyền mới.
Công ty an ninh BlockSec báo cáo rằng nhiều hợp đồng trên các chuỗi đã chịu thiệt hại vượt quá 17 triệu USD. Các mạng bị ảnh hưởng gồm Ethereum, Arbitrum, Base và BNB Chain, làm tăng phạm vi của sự cố.
Riêng CertiK ước tính số tiền bị đánh cắp gần 13,3 triệu USD USDC từ các hoạt động liên quan.
Một số hợp đồng liên quan vẫn còn mã nguồn mở và chưa được xác minh khi triển khai.
Matcha Meta sau đó xác nhận rằng các hợp đồng cốt lõi của 0x không bị ảnh hưởng bởi sự cố.
Người dùng dựa vào các phê duyệt một lần qua hạ tầng 0x vẫn không bị ảnh hưởng.
Sự cố này đã làm nổi bật vấn đề về các quyền token liên tục trong tài chính phi tập trung.
Quyền hạn không giới hạn mang lại tiện lợi nhưng cũng làm tăng rủi ro trong các thất bại của hợp đồng thông minh.
Trong khi đó, nhà điều tra on-chain ZachXBT chỉ trích phản ứng chậm của Circle trong việc phong tỏa số USDC còn lại. Khoảng 3 triệu USD được cho là vẫn còn tại các địa chỉ đủ điều kiện để phong tỏa trong thời gian phản hồi.
Lỗ hổng này góp phần vào danh sách ngày càng tăng các thất bại về an ninh DeFi đầu năm 2026. Dữ liệu ngành cho thấy số tiền crypto bị đánh cắp đạt mức kỷ lục trong những năm gần đây, gia tăng áp lực lên các thực hành bảo mật của các giao thức.
|
| LƯU Ý: Thông tin trên trang web này được cung cấp như một bình luận chung về thị trường và không cấu thành lời khuyên đầu tư. Chúng tôi khuyên bạn tự nghiên cứu trước khi đầu tư. |
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Warden Protocol nghi vấn lừa đảo, giá token giảm mạnh 90% kể từ khi ra mắt
Tin tức Gate News, ngày 7 tháng 3, theo phản hồi từ cộng đồng người dùng, Warden Protocol (WARD) có khả năng đã lừa đảo, giá token của nó đã giảm 90% kể từ khi niêm yết trên một sàn CEX Alpha. Được biết, Warden Protocol trước đây được định vị là một mạng lưới blockchain mô-đun hướng theo mục đích, sau đó chuyển hướng sang câu chuyện liên quan đến AI. Dự án này từng tự nhận rằng ba đồng sáng lập của nhóm đều có nền tảng từ một sàn CEX trước đó.
GateNews4giờ trước
Nền tảng cho vay tiền điện tử BlockFills tạm dừng rút tiền và tìm kiếm sự tái cấu trúc, bổ nhiệm Giám đốc Chuyển đổi đầu tiên
Tin tức Gate News, ngày 7 tháng 3, công ty giao dịch và cho vay tiền điện tử BlockFills đã tìm kiếm lời khuyên về tái cấu trúc từ công ty tư vấn BRG. Sau khi ngừng rút tiền, BlockFills bổ nhiệm Mark Renzi của BRG làm Giám đốc chuyển đổi. Ban lãnh đạo mới của BlockFills hy vọng hoàn thành quá trình tái cấu trúc, bơm vốn mới và thực hiện các kiểm soát quản trị và tài chính mới.
GateNews6giờ trước
Cơ quan người tiêu dùng Hàn Quốc khởi xướng tranh chấp tập thể về hỗ trợ hoạt động API của một sàn CEX
Viện Người tiêu dùng Hàn Quốc đã khởi xướng quy trình hòa giải tập thể về các hoạt động trợ cấp API của một CEX, do sàn giao dịch từ chối phát trợ cấp cam kết cho một số người dùng. 77 người tiêu dùng đã nộp đơn xin hòa giải vào tháng 1, Ủy ban dự kiến sẽ công bố phương án hòa giải trước ngày 23 tháng 3.
GateNews8giờ trước
BlockFills tạm ngưng rút tiền và tìm kiếm sự tái cấu trúc, cảm giác như FTX đang lặp lại?
Nhà môi giới tiền điện tử nổi tiếng BlockFills tạm dừng rút tiền của khách hàng do thị trường giảm sút, đang tìm kiếm sự hỗ trợ từ BRG để tiến hành tái cơ cấu doanh nghiệp. Công ty đối mặt với vụ kiện về quản lý tài chính không đúng đắn, dẫn đến lệnh cấm của liên bang, và cần cải thiện quản trị nội bộ để thu hút nguồn vốn mới. Khó khăn của BlockFills tương tự như các vụ sụp đổ của các nền tảng tiền điện tử trong quá khứ, liệu quá trình tái cơ cấu trong tương lai có thành công hay không sẽ trở thành tâm điểm chú ý.
ChainNewsAbmedia9giờ trước
BlackRock hạn chế rút tiền của quỹ tín dụng tư nhân 26 tỷ USD, có thể ảnh hưởng đến thị trường DeFi và tiền điện tử
Quỹ tín dụng tư nhân thuộc BlackRock bắt đầu hạn chế rút tiền do số lượng yêu cầu rút tiền tăng, gây lo ngại trên thị trường về tín dụng tư nhân và hệ sinh thái DeFi. Các nhà phân tích cảnh báo rằng, giảm giá trị tài sản tiềm năng hoặc vỡ nợ có thể dẫn đến việc thắt chặt thanh khoản, ảnh hưởng đến thị trường tín dụng truyền thống và thị trường tiền mã hóa.
GateNews9giờ trước
HypurrFi tiết lộ rằng các phiên bản sớm của Aave V3 có lỗ hổng về lỗi làm tròn, đã tạm ngưng thêm vay mượn trên thị trường XAUT0 và UBTC
HyperEVM đã tiết lộ rằng giao thức cho vay không quản lý HypurrFi trước phiên bản Aave V3 có lỗ hổng "lỗi làm tròn", cho phép kẻ tấn công rút tiền từ token cơ sở. HypurrFi đảm bảo an toàn cho quỹ của người dùng, đã tạm dừng hoạt động cung cấp và vay mượn của các thị trường bị ảnh hưởng, và hợp tác với các bên liên quan để xử lý các vấn đề an ninh.
GateNews03-06 09:23
