DxSale đã phải chịu thiệt hại 7,3 triệu đô la sau khi kẻ tấn công được cho là đã sử dụng một lỗ hổng bảo mật ẩn trong hợp đồng khóa thanh khoản để rút BNB bị khóa bởi hơn 1.400 nhà cung cấp thanh khoản trên chuỗi BNB.
Tóm tắt
DxSale đã mất 7,3 triệu đô la trong một vụ tấn công mạng trên chuỗi BNB ảnh hưởng đến khoảng 1.400 nhà cung cấp thanh khoản.
Các nhà nghiên cứu đã liên kết cuộc tấn công với một lỗ hổng bảo mật ẩn trong hợp đồng và một vụ chuyển nhượng quyền sở hữu chưa được tiết lộ trước đó.
Sự cố này xảy ra sau một loạt các vụ tấn công mạng trong lĩnh vực DeFi, với các giao thức mất 52 triệu đô la do các vụ hack tính đến tháng 5.
Theo công ty bảo mật blockchain PeckShield
Địa chỉ do kẻ tấn công kiểm soát “0xC457” đã chuyển khoảng 1,87 triệu đô la BNB vào hai ví chính trước khi gửi tiền đến nhiều địa chỉ gửi tiền liên kết với Binance.
Sự cố này đã ảnh hưởng đến lượng thanh khoản bị khóa trong các hợp đồng DxSale kể từ khi nền tảng này được sử dụng rộng rãi để ra mắt token trên chuỗi BNB vào năm 2021.
Những phát hiện ban đầu từ nhà phân tích blockchain Tahax cho thấy lỗ hổng có thể bắt nguồn từ việc thay đổi quyền sở hữu hợp đồng diễn ra vài tháng trước cuộc tấn công.
Phân tích sâu hơn lịch sử sở hữu, Tahax cho biết hơn 80 giao dịch bổ sung đã được sử dụng để chuyển quyền kiểm soát giữa các ví trước khi cuối cùng đến được địa chỉ được xác định là “0xC45”, địa chỉ này sau đó đã thực hiện các giao dịch rút BNB quy mô lớn.
Nhà phân tích cũng lưu ý rằng ví của kẻ khai thác mới được tạo và ban đầu được nạp tiền thông qua sàn giao dịch tiền điện tử Bybit.
Các nhà nghiên cứu chỉ ra điểm yếu ở cấp độ hợp đồng
Phân tích bổ sung từ công ty bảo mật Web3 Coinsult đã liên kết lỗ hổng này với một chức năng hợp đồng đặc quyền và một khoảng thời gian khóa bị thao túng. Theo Coinsult, sự kết hợp này cho phép các khoản tiền lẽ ra phải được giữ ở trạng thái khóa lại được coi là số dư có thể rút được.
Công ty bảo mật cho biết cơ chế “setFee” đặc quyền, kết hợp với cấu hình khóa được ghi lùi ngày, đã cho phép thực hiện các hành động rút tiền lặp đi lặp lại, cuối cùng làm cạn kiệt dự trữ BNB. Tahax cũng cáo buộc riêng rằng một cửa hậu đã được để lại trong hợp đồng triển khai, tạo điều kiện cho việc khai thác.
Theo Tahax, vào thời điểm các nhà điều tra xác định được đường dẫn tấn công, một số tiền bị đánh cắp đã được chuyển qua cơ sở hạ tầng, điều này có thể làm phức tạp các nỗ lực theo dõi.
Mối lo ngại về bảo mật DeFi gia tăng sau các cuộc tấn công gần đây.
Vụ vi phạm mới nhất xảy ra khi các nền tảng tài chính phi tập trung tiếp tục đối mặt với các sự cố bảo mật trên nhiều mạng lưới.
Dữ liệu từ DefiLlama cho thấy các giao thức DeFi đã mất khoảng 52 triệu đô la do các cuộc tấn công khai thác trong tháng 5, sau khi ghi nhận khoản lỗ khoảng 634 triệu đô la trong tháng 4, tổng số hàng tháng cao nhất kể từ tháng 2 năm 2025.
Mối lo ngại về bảo mật đã gia tăng trong tuần này sau khi Stake DAO tiết lộ một lỗ hổng liên quan đến mã thông báo sdCRV được tăng cường bằng phiếu bầu của họ trên Arbitrum. Công ty bảo mật blockchain Blockaid báo cáo rằng một kẻ tấn công đã tạo ra hơn 5,4 nghìn tỷ token vsdCRV và bắt đầu giao dịch chúng lấy ETH, trong khi Stake DAO kêu gọi người dùng không tương tác với tài sản này khi các nhà điều tra theo dõi các giao dịch trên Arbitrum và Ethereum.
Ở một diễn biến khác
Wasabi Protocol báo cáo thiệt hại vượt quá 5 triệu đô la sau khi khóa quản trị bị xâm phạm cho phép kẻ tấn công nâng cấp hợp đồng và rút tiền trên Ethereum, Base, Berachain và Blast.
Trong bối cảnh hàng loạt sự cố gần đây, người đồng sáng lập OpenZeppelin, Manuel Aráoz, cảnh báo rằng những tiến bộ trong việc phát hiện lỗ hổng bảo mật bằng trí tuệ nhân tạo đang khiến các cuộc tấn công dễ thực hiện hơn.
Trong những bình luận được crypto.news trích dẫn trước đó, Aráoz cho biết ông hiện coi “toàn bộ DeFi” là không an toàn vì kẻ tấn công ngày càng có quyền truy cập vào các công cụ mạnh mẽ có thể xác định điểm yếu phần mềm trước khi các nhà phát triển có thể vá lỗi.
Theo DefiLlama, các vụ khai thác tiền điện tử đã dẫn đến tổng thiệt hại hơn 17 tỷ đô la, bao gồm khoảng 7,8 tỷ đô la bị đánh cắp chỉ riêng từ các giao thức DeFi.
Xem các tin tức mới nhất về bitcoin và thị trường điện tử tại : Tin tức Crypto
Tham gia ngay Tộc Crypto để nhận được những bài viết đánh giá và phân tích thị trường, Tham gia vào cuộc thảo luận về tiền điện tử và nhận được câu trả lời cho mọi câu hỏi từ các chuyên gia và những nhà giao dịch có kinh nghiệm của chúng tôi nhé
Binance
OKX
Remitano
Bybit
BigONE
BingX
