Lỗ hổng Base blockchain gây mất 1 triệu USD — Cảnh báo Cyvers

Một cuộc tấn công khai thác các hợp đồng cho vay chưa được xác minh trên blockchain Base đã gây ra vụ trộm khoảng 1 triệu USD.

Sự việc diễn ra trong vài giờ, được báo cáo bởi công ty an ninh blockchain Cyvers Alerts trong một bài đăng trên X vào ngày 25 tháng 10.

Kẻ tấn công đã khai thác lỗ hổng trong các hợp đồng thông minh liên quan đến Wrapped Ether (WETH), thành công thao túng giá và sau đó bòn rút các khoản tiền.

Khai thác thao túng giá

Giao dịch khả nghi ban đầu của kẻ tấn công đã rút ra 993.534 USD từ các hợp đồng cho vay chưa được xác minh trên blockchain Base.

Họ đã chuyển phần lớn số tiền bị đánh cắp đến mạng Ethereum và sau đó gửi khoảng 202.549 USD vào dịch vụ Tornado Cash tập trung vào sự riêng tư. Các khoản tiền bổ sung tổng cộng 455.127 USD đã bị lấy đi bằng cách sử dụng cùng một lỗ hổng khai thác.

Trong một phiên hỏi đáp bằng văn bản với TinTucBitcoin, Hakan Unal, trưởng nhóm SOC cao cấp tại Cyvers Alerts, đã giải thích về lỗ hổng bị khai thác trong cuộc tấn công:

“Oracle sử dụng bởi các hợp đồng này không mạnh, chỉ dựa vào một cặp duy nhất với thanh khoản hạn chế khoảng 400K, khiến nó dễ bị tác động bởi biến động giá có thể bị thao túng.”

Hệ quả bảo mật và biện pháp phòng ngừa

Việc khai thác các hợp đồng cho vay chưa xác minh trong sự cố này tiết lộ những rủi ro rộng lớn hơn liên quan đến các nền tảng DeFi (DeFi) không thực thi các biện pháp bảo mật mạnh mẽ.

Unal giải thích rằng “một oracle đáng tin cậy hơn, đa dạng hơn với thanh khoản cao hơn để tránh thao túng giá” có thể được sử dụng để ngăn chặn các cuộc tấn công tương tự trong tương lai, đặc biệt là “đối với các tài sản như WETH.”

“Việc kiểm tra hợp đồng cho vay cẩn thận hơn, đặc biệt là trên các oracle được sử dụng, có thể giảm thiểu các rủi ro này.”

Trách nhiệm thuộc về ai?

Unal cho TinTucBitcoin biết rằng “kẻ tấn công đã trốn thoát” với số tiền đánh cắp thông qua việc khai thác “lỗ hổng thao túng giá cả.”

“Trách nhiệm có thể nằm ở thực thể quản lý các hợp đồng cho vay chưa xác minh, cũng như những người chịu trách nhiệm chọn oracle không đủ bảo mật cho việc xác minh giá cả.”

Kẻ tấn công chưa được xác định và đã thành công trong việc trốn thoát với số tiền bị đánh cắp. Sự cố này nhấn mạnh nhu cầu các nền tảng DeFi cần cải thiện các giao thức bảo mật để bảo vệ tài sản của người dùng và đảm bảo việc xác minh hợp đồng trong tương lai nhằm ngăn chặn các sự kiện tương tự xảy ra.

Tin Tức Bitcoin tổng hợp

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.