GoPlus Security phát hiện nhiều Token liên quan ví Binance và OKX có lỗ hổng cho phép rút Token, phát hành không giới hạn, bypass allowance và cơ chế honeypot.
Kiểm tra hơn 30 dự án cho thấy các lỗ hổng nằm ở hàm mint, transferERC20/transferFrom và manualSwap, tạo rủi ro mất tài sản hoặc phát hành Token vô hạn.
- Rủi ro chủ yếu: quyền quá mức cho owner, bypass allowance, rút ETH/Token và phát hành không giới hạn.
- Nhóm dự án bị ảnh hưởng gồm FLOCK, x420, U402, MRDN, PENG, x402Token, x402b, x402MO.
- Khuyến nghị: ngưng tương tác, thu hồi quyền truy cập, chờ audit/fix từ nhóm phát triển.
Tổng quan phát hiện
GoPlus Security đã quét hơn 30 dự án liên quan và cảnh báo nhiều hợp đồng chứa lỗ hổng có thể dẫn tới mất Token hoặc phát hành Token vô hạn.
Những lỗ hổng phổ biến gồm: hàm owner có thể rút Token/ETH, hàm mint/crosschainMint/mintByBond cho phép mint không giới hạn, và transferFrom bypass kiểm tra allowance cho tài khoản đặc biệt.
Danh sách dự án và lỗ hổng cụ thể
Các dự án được xác định gồm: FLOCK, x420, U402, MRDN, PENG, x402Token, x402b và x402MO, mỗi dự án có lỗ hổng khác nhau như rút Token, mint vô hạn hoặc bypass allowance.
Chi tiết: FLOCK (0x5ab3) — transferERC20 cho owner rút bất kỳ Token; x420 (0x68e2) — crosschainMint mint không giới hạn; U402 (0xd2b3) — mintByBond mint vô hạn; MRDN (0xe57e) — withdrawToken cho owner rút mọi Token; PENG (0x4444ee, 0x444450, 0x444428) — manualSwap rút ETH, transferFrom bypass allowance; x402Token (0x40ff), x402b (0xd8af5f), x402MO (0x3c47df) — tương tự bypass allowance và/hoặc manualSwap rút ETH.
Viện nghiên cứu GoPlus Security thực hiện quét bảo mật và phát hiện các rủi ro quá quyền, replay signature, honeypot và phát hành không giới hạn trên một số Token.
GoPlus Security Research Institute, nguồn chính thức
Rủi ro thực tế và hệ quả
Những lỗ hổng này có thể cho phép chủ hợp đồng hoặc tài khoản đặc biệt rút toàn bộ Token/ETH, mint thêm Token làm loãng giá, hoặc khóa người dùng trong honeypot không thể rút.
Hậu quả gồm mất tài sản trực tiếp, giảm niềm tin thị trường và rủi ro thanh khoản cao đối với các Token bị ảnh hưởng. Người nắm quyền cao có thể thao túng nguồn cung hoặc rút toàn bộ tài sản từ hợp đồng.
Khuyến nghị cho người dùng và nhà phát triển
Người dùng nên tạm dừng tương tác, thu hồi (revoke) quyền truy cập Token, kiểm tra hợp đồng trên explorer và chờ thông báo sửa lỗi từ đội phát triển.
Nhà phát triển cần audit hợp đồng, gỡ bỏ quyền quá mức, thêm kiểm tra allowance và giới hạn mint; cập nhật hợp đồng nếu cần và thông báo minh bạch với cộng đồng.
FAQ
Token của tôi có trong danh sách — tôi nên làm gì ngay bây giờ?
Ngưng mọi tương tác, thu hồi quyền (revoke) trên trình quản lý quyền của ví hoặc explorer, và theo dõi thông báo chính thức từ đội phát triển trước khi kết nối lại.
Làm sao kiểm tra xem một hợp đồng có lỗ hổng bypass allowance hay không?
Kiểm tra mã nguồn hợp đồng (transferFrom, approve) trên explorer; nếu có điều kiện bỏ qua allowance cho địa chỉ đặc biệt, đó là dấu hiệu bypass.
Liệu lưu trữ trên ví lạnh có an toàn nếu Token có lỗ hổng hợp đồng?
Ví lạnh an toàn khỏi các hành vi từ bên thứ 3, nhưng nếu hợp đồng Token cho phép mint/vấn đề on-chain, giá Token vẫn có thể bị ảnh hưởng dù bạn không giao dịch.
