Sai sót cấu hình multisig 4/4 trên Gnosis Safe khiến giao dịch tăng trần được bất kỳ ai kích hoạt sớm, làm chiến dịch pre-deposit MegaETH vượt kiểm soát và khóa khoảng 500 triệu USD, châm ngòi tranh cãi dữ dội.
Sự kiện ngày 25/11 được kỳ vọng là bước gom thanh khoản trước mainnet, nhưng nhanh chóng biến thành chuỗi sự cố: sập API, thay đổi cap liên tục, cáo buộc “rug” và phản ứng trái chiều trong cộng đồng.
- Lỗi multisig 4/4 khiến giao dịch tăng trần bị kích hoạt sớm, tiền đổ vào ngoài ý muốn.
- Cap 250 triệu USD lấp đầy trong 156 giây; kế hoạch nâng lên 1 tỷ USD gây phẫn nộ.
- Khoảng 500 triệu USD đang bị khóa, không có exploit; cảm xúc thị trường nghiêng bearish ~60/40.
Chiến dịch pre-deposit MegaETH diễn ra với nhu cầu cực lớn
Cap 250 triệu USD mở lúc 9:00 AM EST (≈21:00 GMT+7) cho ví Sonar đã KYC, sau khi site lỗi vì quá tải và mở lại 10:00 AM EST, cap bị lấp đầy chỉ trong 156 giây.
Ưu đãi hệ số airdrop 2,5% cho người nạp sớm tạo FOMO mạnh. API bên thứ 3 sập trong vài phút đầu khiến website gián đoạn gần 1 giờ, làm cộng đồng dồn vào khung mở lại lúc 10:00 AM EST.
Nhu cầu bị dồn cục và chênh lệch hạ tầng đã trao lợi thế cho cá voi/bot. Nhà đầu tư nhỏ lẻ gặp trễ mạng, khó hoàn tất giao dịch trước khi cap đầy.
Lỗi multisig 4/4 cho phép kích hoạt giao dịch sớm ngoài kế hoạch
Nhóm đã cấu hình nhầm multisig Gnosis Safe thành 4/4, khiến giao dịch tăng trần có thể bị bất kỳ ai thực thi; một người dùng đã kích hoạt lúc 10:26 AM EST.
Lúc 10:15 AM EST, đội ngũ tuyên bố nâng cap lên 1 tỷ USD “để có USDm ngay ngày 1”, châm ngòi phản ứng dữ dội vì pha loãng lợi suất gấp 4 lần và chưa có tùy chọn rút.
Đến 10:30 AM EST, họ trấn an “first wave unaffected” nhờ multiplier và hẹn mở cầu 11:00 AM EST. Tuy nhiên, do multisig để 4/4, giao dịch bị thực thi sớm 34 phút, khiến dòng nạp vượt khỏi tầm kiểm soát.
Nguồn: MegaETH, raster_ct trên X.
Thử kiểm soát thiệt hại dẫn đến thêm hỗn loạn
Đội ngũ liên tục điều chỉnh cap: định quay về 400 triệu USD nhưng quá tay, sau đó dựng lại 500 triệu USD và bị lấp đầy ngay; cuối cùng hủy kế hoạch 1 tỷ USD lúc trưa EST.
Các bước xử lý được ghi nhận: 1) Hàng đợi revert về 400 triệu USD — overshot; 2) Tạo mới 500 triệu USD — thực thi thành công; 3) Cap chạm tức thì; 4) Bỏ kế hoạch 1 tỷ USD vì “vấn đề bất ngờ”.
Sau trưa EST (≈0:00 GMT+7 ngày kế tiếp), mở rút cho người muốn opt-out, nhưng tỷ lệ rút dưới 5%. Điều này cho thấy phần lớn depositor chấp nhận rủi ro để giữ suất airdrop.
Hậu quả: 500 triệu USD bị khóa, không có exploit nhưng quy trình bị đặt dấu hỏi
Khoảng 500 triệu USD hiện bị khóa trong hợp đồng do đội ngũ kiểm soát; không có khai thác bảo mật và hợp đồng đã qua audit của Zellic, SlowMist.
Lỗi multisig không phải lỗ hổng hợp đồng, mà là sai sót vận hành nghiêm trọng. Nó phơi bày bộ kiểm soát thay đổi thiếu “four-eyes review”, thiếu checklist “dry-run” và thiếu tường lửa thao tác (pause/guardian, circuit-breaker) khi thay đổi tham số trọng yếu.
Với tiền điện tử, địa chỉ hợp đồng và cấu hình multisig là bề mặt rủi ro lớn. Sai sót nhỏ trong threshold/role có thể dẫn đến hành vi ngoài ý muốn, dù logic hợp đồng đã được audit.
Phản ứng cộng đồng phân cực với thiên hướng bearish
Tâm lý trên X chia rẽ khoảng 60/40 theo hướng bearish; có hơn 50.000 lượt nhắc #MegaETH trong ngày.
Phe bullish xem “cầu điên rồ” nửa tỷ USD giữa thị trường gấu là tín hiệu nhu cầu thật. Phe bearish gọi đây là “clown show”, đòi hoàn tiền, nghi vấn về quản trị rủi ro và cam kết với depositor ban đầu.
Giá $MEGA pre-market quanh 2–3 USD; mainnet vẫn dự kiến tháng 12. Câu hỏi trung tâm: mức bù rủi ro vận hành có lấn át câu chuyện tăng trưởng khi niêm yết hay không.
Nguồn: OlimpioCrypto, MegaETH trên X.
Bài học thực thi cho dự án tiền điện tử
Dự án cần quy trình thay đổi an toàn, kịch bản dự phòng và truyền thông rõ ràng để tránh tái diễn sự cố tương tự.
- Multisig: áp dụng 3/4 với quy tắc thay đổi tạm thời có time-lock, yêu cầu “out-of-band” approval.
- Change management: checklist “staged rollout”, dry-run, canary, circuit-breaker/pause.
- Công suất: dự phòng API/RPC, chống bot, suất cho retail theo đợt/allowlist.
- Minh bạch: thông báo cap, multiplier, lịch mở – đóng, quyền rút, trước khi hiệu lực.
Tác động đến rủi ro và định giá ngắn hạn của $MEGA
Sự cố làm tăng chiết khấu rủi ro vận hành, nhưng nhu cầu thực có thể neo kỳ vọng nếu mainnet đúng hẹn.
Kịch bản tích cực: giữ nguyên multiplier “first wave”, không đổi luật chơi, quy trình multisig được gia cố, niêm yết thuận lợi. Kịch bản tiêu cực: tranh cãi pha loãng/hoàn tiền kéo dài, truyền thông đứt đoạn, dòng rút tăng khi mở tùy chọn mới.
Dòng thời gian sự kiện chính
Dưới đây là timeline tóm tắt theo EST (quy chiếu GMT+7 trong ngoặc).
- 9:00 AM EST (21:00 GMT+7) 25/11: Mở cap 250 triệu USD cho ví Sonar đã KYC.
- ~9:00–10:00 AM: API sập, site gián đoạn ~1 giờ.
- 10:00 AM (22:00 GMT+7): Mở lại; cap đầy trong 156 giây.
- 10:15 AM (22:15 GMT+7): Công bố nâng cap lên 1 tỷ USD.
- 10:30 AM (22:30 GMT+7): “First wave unaffected”, hẹn 11:00 AM mở cầu.
- 10:26 AM (22:26 GMT+7): Giao dịch tăng trần bị người dùng thực thi sớm.
- ~12:00 PM (00:00 GMT+7, ngày 26/11): Bỏ kế hoạch 1 tỷ USD; mở rút, uptake <5%.
Nguồn: MegaETH, raster_ct, OlimpioCrypto trên X.
Những câu hỏi thường gặp
Điều gì khiến cap 250 triệu USD lấp đầy trong 156 giây?
Ưu đãi multiplier airdrop 2,5% cho người nạp sớm, website mở lại lúc 10:00 AM EST sau gián đoạn, cùng hoạt động mạnh của cá voi/bot đã đẩy dòng tiền vào rất nhanh.
Có xảy ra hack hay giảm tiền không?
Không có exploit được ghi nhận. Khoản tiền khoảng 500 triệu USD đang nằm trong hợp đồng do đội ngũ kiểm soát; hợp đồng đã qua audit bởi Zellic và SlowMist.
Người gửi có thể rút tiền đã nạp không?
Có. Sau trưa EST, đội ngũ bật tính năng rút cho người muốn opt-out. Tuy nhiên, tỷ lệ rút được báo cáo dưới 5%.
