Công ty an ninh blockchain Blockaid vào ngày 6/5 theo giờ miền Đông nước Mỹ đã đăng trên X để tiết lộ rằng nhà cung cấp thanh khoản và nhà tạo lập thị trường TrustedVolumes của bộ tổng hợp thanh khoản phi tập trung 1inch đang bị tấn công liên tục; tính đến thời điểm Blockaid công bố, tổn thất đã lên tới khoảng 5,87 triệu USD.
Chi tiết kỹ thuật của cuộc tấn công: lỗ hổng hợp đồng proxy RFQ
Theo tuyên bố của Blockaid, lỗ hổng được sử dụng trong cuộc tấn công này nằm trong hợp đồng proxy tùy chỉnh RFQ (Request for Quote, yêu cầu báo giá) mà TrustedVolumes tự kiểm soát; lỗ hổng này thuộc các thành phần kỹ thuật khác với lỗ hổng liên quan đến sự cố 1inch Fusion V1 vào ngày 1/3/2025.
Blockaid công bố rằng, tính đến thời điểm phát hành tuyên bố, danh mục tài sản bị đánh cắp như sau:
WETH (Wrapped Ether): 1.291,16 token
USDT: 206.282 token
WBTC (Wrapped Bitcoin): 16,939 token
USDC: 1.268.771 token
Đơn vị liên quan: 1inch, TrustedVolumes và Blockaid
Theo tuyên bố của Blockaid, sự kiện tấn công 1inch Fusion V1 trong tháng 3/2025 và sự kiện lần này do cùng một kẻ tấn công thực hiện; các lỗ hổng kỹ thuật được khai thác trong hai lần tấn công là khác nhau, và hợp đồng proxy RFQ của TrustedVolumes bị ảnh hưởng thuộc các thành phần độc lập.
Dữ liệu then chốt: bối cảnh các sự cố an ninh DeFi
Theo thống kê của nền tảng dữ liệu on-chain DefiLlama, các vụ tấn công và khai thác lỗ hổng do hacker gây ra trong tháng 4/2026 đã khiến thiệt hại đạt 635,2 triệu USD, ghi nhận mức tổn thất cao nhất trong một tháng kể từ tháng 2/2025 (Bybit chịu thiệt hại gần 1,5 tỷ USD).
Theo The Block, cuộc tấn công nhắm vào TrustedVolumes là vụ khai thác lỗ hổng lớn thứ năm kể từ đầu tháng 5/2026. Trong cùng giai đoạn, các sự kiện lớn gồm: Drift chịu cuộc tấn công kỹ thuật xã hội trị giá 285 triệu USD và Kelp DAO chịu cuộc tấn công khai thác lỗ hổng trị giá 293 triệu USD.
Câu hỏi thường gặp
Cuộc tấn công xảy ra khi nào? Tình hình tổn thất ra sao?
Theo tuyên bố của công ty an ninh blockchain Blockaid đăng trên X vào ngày 6/5/2026 theo giờ miền Đông nước Mỹ, TrustedVolumes đang chịu một cuộc tấn công liên tục; tính đến thời điểm phát hành tuyên bố, tổn thất đã lên tới khoảng 5,87 triệu USD. Tài sản bị đánh cắp bao gồm WETH, USDT, WBTC và USDC.
Kẻ tấn công đã khai thác lỗ hổng kỹ thuật nào?
Theo tuyên bố của Blockaid, cuộc tấn công khai thác lỗ hổng hợp đồng proxy tùy chỉnh RFQ (yêu cầu báo giá) do TrustedVolumes tự kiểm soát, được triển khai trên blockchain Ethereum. Lỗ hổng này là khác với thành phần kỹ thuật liên quan đến sự cố 1inch Fusion V1 vào tháng 3/2025.
Cuộc tấn công này có liên quan đến sự kiện 1inch hồi tháng 3/2025 không?
Theo tuyên bố của Blockaid, hai cuộc tấn công do cùng một thực thể thực hiện. Tháng 3/2025, cùng kẻ tấn công đã tiến hành tấn công vào hợp đồng 1inch Fusion V1, gây thiệt hại khoảng 5 triệu USD; lần này cũng do cùng kẻ tấn công nhưng nhắm vào các thành phần hợp đồng khác nhau.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Người đàn ông ở California Marlon Ferro bị kết án 78 tháng vì trộm ví lạnh trị giá 250 triệu đô la Mỹ
Theo tuyên bố chính thức của Bộ Tư pháp Mỹ (DOJ) được công bố vào ngày 7 tháng 5, một nam thanh niên 20 tuổi người California tên Marlon Ferro bị Tòa án Liên bang tuyên án 78 tháng tù giam do tham gia vào một vụ lừa đảo bằng kỹ thuật xã hội tài sản mã hóa trên toàn quốc. Ngoài ra, anh ta còn bị phạt 3 năm quản chế và bồi thường 2,5 triệu USD. Theo tuyên bố của Bộ Tư pháp, băng nhóm tội phạm này đã đánh cắp hơn 250 triệu USD tài sản mã hóa từ nhiều nạn nhân.
MarketWhisper5phút trước
Aave thanh lý vị thế của kẻ tấn công Kelp DAO, Arbitrum bỏ phiếu đồng ý giải băng rsETH
Theo thông báo của Aave ngày 7 tháng 5, cuộc bỏ phiếu của Arbitrum DAO liên quan đến các ETH thuộc sự kiện rsETH ngày 18 tháng 4 đã đạt đủ túc số, với hơn 1.600 địa chỉ, và nhận được sự ủng hộ đồng thuận từ cộng đồng. Cùng ngày, Aave, dựa trên quy trình quản trị đã được thiết lập, đã hoàn tất việc thanh lý phần dư rsETH trên giao thức Aave đối với kẻ tấn công của Kelp DAO.
MarketWhisper38phút trước
1inch Nhà cung cấp thanh khoản TrustedVolumes bị tấn công trên Ethereum, bị đánh cắp 5,87 triệu USD
Theo Blockaid, nhà tạo lập thị trường và đơn vị giải quyết TrustedVolumes của 1inch đang bị tấn công trên Ethereum tính đến ngày 7/5. Lỗ hổng đã được phát hiện trong hệ thống giám sát an ninh của Blockaid, trong một hợp đồng tác nhân giao dịch RFQ tùy chỉnh do TrustedVolumes kiểm soát. Kẻ tấn công đã trích xuất
GateNews1giờ trước
Cảnh báo từ Project Eleven: 6,9 triệu BTC có thể đối mặt với mối đe dọa lượng tử, Q-Day sớm nhất vào năm 2030
Công ty khởi nghiệp trong lĩnh vực an ninh an toàn hậu lượng tử Project Eleven đã công bố báo cáo vào ngày 6 tháng 5, cảnh báo rằng mốc đột phá của máy tính lượng tử so với ngưỡng tới hạn của các công nghệ mã hóa hiện đại (Q-Day) sớm nhất có thể đến vào năm 2030, và đến năm 2033 thì xác suất xảy ra vượt quá 50%. Báo cáo cũng ước tính rằng, trong một số điều kiện nhất định, khoảng 6,9 triệu BTC (bitcoin) có nguy cơ phải đối mặt với các cuộc tấn công lượng tử tiềm ẩn, đồng thời kêu gọi hệ sinh thái tiền mã hóa đẩy nhanh tiến trình chuyển đổi kháng lượng tử.
MarketWhisper2giờ trước
Project Eleven cảnh báo Q-Day có thể đến sớm nhất vào năm 2030
Project Eleven đã công bố một báo cáo vào hôm thứ Tư, đề xuất rằng mốc “bước ngoặt” khi các máy tính lượng tử phá vỡ mã hóa hiện đại—thường được gọi là “Q-Day”—có thể đến sớm nhất vào năm 2030, với một đột phá được mô tả là “khả năng cao hơn không” vào năm 2033. Startup này tập trung vào bảo mật hậu lượng tử
CryptoFrontier3giờ trước
NYSE Tokenization Partners cảnh báo rủi ro của token cổ phiếu tổng hợp
Các đối tác token hóa của NYSE đã đưa ra cảnh báo rằng các token cổ phiếu tổng hợp có thể đánh lừa các nhà giao dịch bán lẻ thông qua việc bịa đặt về các cổ phiếu cơ sở và sử dụng trái phép tên của công ty, theo nội dung cảnh báo.
Các mối lo ngại về token tổng hợp ở nước ngoài
Các đối tác đã xác định ba điểm chính ri
CryptoFrontier7giờ trước
