SwapNet, một nền tảng tổng hợp giao dịch phi tập trung (DEX) dựa trên on-chain, vừa bị tấn công nghiêm trọng vào smart contract, khiến gần 16.8 triệu USD tài sản tiền mã hoá bị đánh cắp.
Sự cố này tiếp tục nhấn mạnh những rủi ro an ninh liên quan đến việc phê duyệt token và các hợp đồng trung gian trong tài chính phi tập trung (DeFi).
Nền tảng tổng hợp DEX on-chain SwapNet bị tấn công, thiệt hại 16.8 triệu USD
Theo PeckShield, kẻ tấn công đã nhắm vào các hoạt động liên quan đến SwapNet, có thể truy cập thông qua Matcha Meta – nền tảng tổng hợp DEX của đội ngũ 0x.
Trên blockchain Base, kẻ tấn công đã đổi khoảng 10.5 triệu USD USDC lấy khoảng 3,655 ETH, sau đó chuyển tài sản này sang Ethereum. Đây là chiến thuật phổ biến nhằm gây khó khăn cho việc truy vết và thu hồi tài sản.
Phía Matcha Meta giải thích rằng sự cố này không xuất phát từ hệ thống lõi của họ. Những người dùng bị ảnh hưởng chính là những ai đã bỏ qua cơ chế phê duyệt một lần (One-Time Approval) của 0x – một tính năng bảo mật giúp hạn chế quyền truy cập token lâu dài.
Khi vô hiệu hóa tính năng này, người dùng đã cấp quyền cho các hợp đồng tổng hợp, bao gồm cả router của SwapNet, tạo điều kiện cho kẻ tấn công xâm nhập.
“Chúng tôi đã ghi nhận một sự cố liên quan đến SwapNet mà người dùng có thể gặp phải trên Matcha Meta – đặc biệt với những ai đã tắt chức năng One-Time Approvals,” Matcha Meta thông báo trong một tuyên bố.
Nền tảng này xác nhận đang phối hợp với đội ngũ của SwapNet, hiện đã tạm thời vô hiệu hóa các hợp đồng bị liên quan trong khi tiếp tục điều tra.
Matcha Meta cũng khuyến cáo người dùng nên nhanh chóng thu hồi các phê duyệt dành cho từng nền tảng tổng hợp ngoài hệ thống One-Time Approval của 0x để phòng ngừa rủi ro.
Nền tảng cũng nhấn mạnh hợp đồng router của SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) là quyền phê duyệt cần được thu hồi gấp. Nếu không, ví của người dùng vẫn có thể gặp rủi ro ngay cả sau khi sự cố đã được kiểm soát.
Những đánh đổi về bảo mật của DeFi: Tiện lợi hay an toàn giữa lúc ngày càng nhiều vụ khai thác lỗ hổng smart contract
Sự cố lần này tiếp tục cho thấy những đánh đổi thường thấy giữa tính tiện lợi và an toàn trong DeFi. Hệ thống phê duyệt một lần (One-Time Approval) yêu cầu nhà đầu tư nhỏ lẻ phê duyệt từng giao dịch, giúp giảm nguy cơ bị tấn công. Tuy nhiên, điều này lại gây bất tiện cho các trader giao dịch thường xuyên.
Nếu chọn phê duyệt không giới hạn, các smart contract sẽ được quyền truy cập liên tục vào tài sản của người dùng. Điều này trở nên đặc biệt nguy hiểm nếu như hợp đồng bị tấn công.
Cho đến nay, SwapNet vẫn chưa công bố báo cáo kỹ thuật chi tiết hoặc cho biết liệu có bồi thường cho người dùng bị ảnh hưởng hay không. Điều này khiến nhiều câu hỏi về trách nhiệm và giải pháp khắc phục còn bỏ ngỏ.
Sự không rõ ràng ngay lập tức từ đây sẽ làm tăng sự chú ý và kiểm tra đối với cách thức phê duyệt cũng như tích hợp giữa các nền tảng tổng hợp trong hệ sinh thái DeFi.
Một vụ khai thác Ethereum nữa cho thấy rủi ro của hợp đồng chưa xác minh, đóng mã nguồn
Vụ việc này diễn ra trong bối cảnh ngày càng nhiều cuộc tấn công vào smart contract và các sự cố bảo mật trên thị trường tiền mã hoá.
Cũng trong cùng ngày, đơn vị kiểm tra bảo mật Pashov đã phát hiện một vụ tấn công khác trên Ethereum mainnet với khoảng 37 WBTC, trị giá hơn 3.1 triệu USD.
Vụ việc này liên quan đến một hợp đồng không công khai mã nguồn, không được xác minh và chỉ vừa được triển khai 41 ngày trước đó. Hợp đồng này chỉ công bố mã bytecode khó đọc với con người, gây khó cho việc rà soát của cộng đồng.
Những sự cố này càng cho thấy DeFi là mảnh đất màu mỡ cho các hacker tận dụng, xuất phát từ những điểm yếu như:
- Mã hợp đồng không được xác minh
- Quyền phê duyệt duy trì liên tục
- Các lớp định tuyến phức tạp
Dù đã cải thiện an ninh và trải qua nhiều cuộc kiểm toán, DeFi vẫn đối mặt với các lỗ hổng về cấu trúc. Điều này khiến cả nhà phát triển và nhà đầu tư nhỏ lẻ phải cân nhắc giữa trải nghiệm sử dụng thuận tiện và việc quản lý rủi ro.
