Kẻ tấn công lợi dụng lỗ hổng mint Token vô hạn trên Arbitrum để chiếm đoạt khoảng 1,55 triệu USD giá trị ETH và USDC, gây ảnh hưởng đến thanh khoản pool của Morpho Vault và Uniswap v4.
Đội ngũ phát triển dự án Kinto đang phối hợp với các bên liên quan để truy vết số tiền bị đánh cắp, đồng thời sẽ khôi phục số dư Token K về thời điểm trước cuộc tấn công và tái khởi động giao dịch trên sàn tập trung (CEX) trước ngày 31/7.
- Kẻ tấn công khai thác lỗ hổng mint Token vô hạn trên Arbitrum để phát hành 110.000 Token K giả.
- Khoảng 1,55 triệu USD giá trị ETH và USDC trong các pool Morpho Vault và Uniswap v4 bị rút cạn.
- Nhóm Kinto cam kết truy vết và khôi phục số dư cũng như giá giao dịch Token K về thời điểm trước sự cố.
Cuộc tấn công khai thác lỗ hổng mint Token đã diễn ra như thế nào?
Ramon Recuero, đồng sáng lập Kinto, xác nhận trên mạng social ngày 11/7 rằng hacker đã lợi dụng lỗ hổng cho phép mint Token K vô hạn trên Arbitrum để tạo ra 110.000 Token giả, từ đó xả lực lượng thanh khoản trong Morpho Vault và Uniswap v4. Sự cố dẫn đến thiệt hại khoảng 1,55 triệu USD giá trị ETH và USDC.
Phân tích kỹ thuật cho thấy khai thác này tận dụng tính năng mint chưa được kiểm soát chặt chẽ trên smart contract của Token K, gây mất cân bằng trong pool thanh khoản và đẩy giá Token K biến động mạnh.
“Chúng tôi đã phát hiện lỗ hổng nghiêm trọng cho phép mint Token vô hạn, khiến kẻ xấu lợi dụng chiếm đoạt tài sản từ pool thanh khoản. Việc phối hợp với đối tác và các bên liên quan đang được huy động để nhanh chóng truy vết và giảm thiểu thiệt hại.”
Ramon Recuero, Đồng sáng lập Kinto, 11/7/2024
Nhóm Kinto đã và đang thực hiện những biện pháp nào để xử lý hậu quả?
Ngay sau khi phát hiện sự cố, nhóm Kinto đã liên hệ các bộ phận pháp lý, kỹ thuật và các đối tác nhằm truy vết dòng tiền bị đánh cắp. Không chỉ vậy, họ cam kết sẽ phục hồi số dư Token K của người dùng về snapshot trước ngày 31/7 và sẽ tái khởi động giao dịch Token trên các sàn tập trung (CEX) với giá tương đương thời điểm trước khi xảy ra tấn công.
Đại diện Kinto cho biết, nếu tìm được hoặc thu hồi số tiền bị đánh cắp, việc hoàn trả và ổn định thị trường Token sẽ được ưu tiên hàng đầu, thể hiện cam kết trách nhiệm với nhà đầu tư và cộng đồng dự án.
Tác động của sự cố này đến thị trường và người dùng Token K là gì?
Việc mất gần 1,55 triệu USD và biến động giá Token K đã tạo ra không ít hoang mang trong cộng đồng. Theo báo cáo On-chain, thanh khoản của Morpho Vault và Uniswap v4 giảm đáng kể, gây ảnh hưởng trực tiếp đến khả năng giao dịch và thanh toán. Nhà đầu tư Token K cần lưu ý biến động giá mạnh và rủi ro mất tài sản dịch chuyển trong thời gian ngắn.
Những bài học rút ra từ vụ tấn công cũng nhấn mạnh tầm quan trọng của việc kiểm soát, audit smart contract nghiêm ngặt hơn, nhất là với các Token hoạt động trên Layer 2 như Arbitrum.
“Lỗ hổng bảo mật trong các dự án Layer 2 có thể gây tổn thất nghiêm trọng nếu không được giám sát và vá lỗi kịp thời. Đây là lời cảnh tỉnh cho toàn bộ hệ sinh thái tiền điện tử.”
Chuyên gia bảo mật Blockchain Nguyen Van Nam, 06/2024
So sánh hiệu quả bảo mật và quản lý rủi ro của các nền tảng Layer 2 phổ biến
| Nền tảng | Hình thức bảo mật | Quản lý rủi ro smart contract | Số vụ tấn công nghiêm trọng (2024) |
|---|---|---|---|
| Arbitrum (Kinto) | Audit bên thứ 3, nhưng có lỗ hổng mint vô hạn | Đã và đang hoàn thiện, chưa đủ mạnh | 1 vụ |
| Optimism | Audit nghiêm ngặt, tích hợp multi-sig | Thường xuyên cập nhật bản vá và rà soát | 0 vụ |
| zkSync | Bảo mật bằng zk-rollup, audit định kỳ | Hệ thống báo lỗi nhanh, giới hạn quyền mint Token | 0 vụ |
Những câu hỏi thường gặp
- 1. Lỗ hổng mint Token vô hạn là gì?
- Đây là lỗi smart contract cho phép tạo Token không giới hạn, gây mất cân bằng và dễ bị khai thác. Kiểm toán kỹ thuật thường xuyên giúp phát hiện sớm lỗi này.
- 2. Làm sao để truy vết số tiền bị đánh cắp trên Blockchain?
- Các chuyên gia sử dụng công cụ phân tích On-chain kết hợp với hợp tác pháp lý để theo dõi luồng tiền và chủ thể giao dịch liên quan.
- 3. Khôi phục số dư Token như thế nào sau tấn công?
- Nhóm phát triển sẽ hồi phục dữ liệu dựa trên snapshot trước sự cố và cập nhật số dư tài khoản tương ứng, thường cần sự hỗ trợ từ sàn giao dịch.
- 4. Nhà đầu tư cần làm gì khi Token gặp sự cố bảo mật?
- Nên theo dõi thông tin chính thức từ dự án, tránh giao dịch trong thời gian giá biến động mạnh và chuẩn bị phương án quản trị rủi ro hợp lý.
- 5. Các dự án Layer 2 nên làm gì để nâng cao bảo mật?
- Cải tiến audit thông qua bên thứ 3, giới hạn quyền mint Token và tăng cường cảnh báo sớm khi có hành vi bất thường là ưu tiên hàng đầu.
{
“@context”: “https://schema.org”,
“@type”: “FAQPage”,
“mainEntity”: [
{
“@type”: “Question”,
“name”: “Lỗ hổng mint token vô hạn là gì?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Đây là lỗi smart contract cho phép tạo token không giới hạn, gây mất cân bằng và dễ bị khai thác. Kiểm toán kỹ thuật thường xuyên giúp phát hiện sớm lỗi này.”
}
},
{
“@type”: “Question”,
“name”: “Làm sao để truy vết số tiền bị đánh cắp trên Blockchain?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Các chuyên gia sử dụng công cụ phân tích On-chain kết hợp với hợp tác pháp lý để theo dõi luồng tiền và chủ thể giao dịch liên quan.”
}
},
{
“@type”: “Question”,
“name”: “Khôi phục số dư token như thế nào sau tấn công?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Nhóm phát triển sẽ hồi phục dữ liệu dựa trên snapshot trước sự cố và cập nhật số dư tài khoản tương ứng, thường cần sự hỗ trợ từ sàn giao dịch.”
}
},
{
“@type”: “Question”,
“name”: “Nhà đầu tư cần làm gì khi token gặp sự cố bảo mật?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Nên theo dõi thông tin chính thức từ dự án, tránh giao dịch trong thời gian giá biến động mạnh và chuẩn bị phương án quản trị rủi ro hợp lý.”
}
},
{
“@type”: “Question”,
“name”: “Các dự án Layer 2 nên làm gì để nâng cao bảo mật?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Cải tiến audit thông qua bên thứ ba, giới hạn quyền mint token và tăng cường cảnh báo sớm khi có hành vi bất thường là ưu tiên hàng đầu.”
}
}
]
}
