Hai vụ tấn công DeFi gần đây khiến hàng chục triệu USD bị rút khỏi các ví và hợp đồng trên BNB Chain và Ethereum, trong đó một tài khoản trên Venus Protocol mất khoảng 27 triệu USD và sàn phi tập trung Bunni chịu thiệt hại khoảng 2,4 triệu USD.
Sự cố chủ yếu xuất phát từ tấn công social hóa (social engineering) và lỗ hổng hợp đồng thông minh; cả hai dự án đều tạm dừng chức năng hợp đồng để điều tra, trong khi cộng đồng được khuyến nghị kiểm tra phê duyệt và tăng cường bảo mật ví.
- Tài khoản trên Venus Protocol bị rút ~27 triệu USD do phê duyệt độc hại; tiền hiện còn nằm trong hợp đồng kẻ tấn công.
- Sàn Bunni bị khai thác ~2,4 triệu USD bằng thao túng hợp đồng; các chức năng hợp đồng đã tạm dừng.
- Tấn công DeFi tăng mạnh; người dùng nên thu hồi phê duyệt không cần thiết, tránh liên kết lạ và sử dụng ví phần cứng.
Venus Protocol: tài khoản mất 27 triệu USD
Một tài khoản trên Venus Protocol (BNB Chain) bị tấn công và mất khoảng 27 triệu USD thông qua phê duyệt giao dịch độc hại, kẻ tấn công chiếm được nhiều Token mẫu như vUSDT, vUSDC, vXRP, vETH và 285 BTCB.
Số tiền bị rút hiện vẫn nằm trong hợp đồng của kẻ tấn công. Các công ty an ninh mạng on-chain đã phát hiện hoạt động đáng ngờ và cảnh báo cộng đồng, đồng thời Venus tạm dừng một số chức năng để điều tra.
Chi tiết: 27 triệu USD bị rút do social engineering
Nạn nhân vô tình phê duyệt một giao dịch độc hại, cấp quyền truy cập đầy đủ cho ví kẻ tấn công, dẫn tới mất khoảng 19,8 triệu USD vUSDT, 7,15 triệu USD vUSDC, 146K USD vXRP, 22K USD vETH và 285 BTCB.
Sự việc cho thấy rủi ro lớn từ phê duyệt bừa bãi: chỉ một lần đồng ý có thể mở toàn bộ số Token. Người dùng nên thường xuyên kiểm tra và thu hồi phê duyệt không cần thiết, tránh nhấp liên kết lạ và cân nhắc ví phần cứng để hạn chế thiệt hại.
Venus tạm dừng hoạt động để phòng ngừa
Đội ngũ Venus xác nhận ví người dùng bị rút tiền nhưng khẳng định hợp đồng lõi của nền tảng không bị khai thác; giao thức đã tạm dừng để điều tra và theo dõi sự cố.
Thông báo nhấn mạnh rằng nền tảng đang phối hợp giám sát và bảo vệ hệ sinh thái. Giá Token XVS giảm xuống mức 5,97 USD, mất khoảng 6% trong 24 giờ gần nhất.
Bunni Exchange: bị khai thác 2,4 triệu USD
Sàn phi tập trung Bunni bị khai thác khoảng 2,4 triệu USD khi kẻ tấn công thao túng hợp đồng Ethereum, chuyển tiền vào ví hiện giữ khoảng 1,33 triệu USD USDC và 1,04 triệu USD USDT.
Tất cả chức năng hợp đồng của Bunni đã bị tạm dừng để điều tra. Vụ việc nhấn mạnh rủi ro trên DEX, đặc biệt khi hợp đồng chưa được kiểm toán đầy đủ hoặc bị thao túng logic.
Tổng quan: xu hướng tấn công DeFi
Tháng 8 ghi nhận sự gia tăng các vụ tấn công, với tổng khoảng 163 triệu USD bị đánh cắp qua 16 sự cố, cho thấy kẻ tấn công ngày càng nhắm tới sàn giao dịch và cá nhân có tài sản lớn.
Chuyên gia an ninh cảnh báo hacker chuyển hướng tấn công từ lỗ hổng kỹ thuật sang kỹ thuật social và khai thác quy trình phê duyệt người dùng, yêu cầu tăng cường biện pháp bảo vệ cho ví và hợp đồng thông minh.
Làm thế nào người dùng có thể giảm rủi ro?
Thu hồi phê duyệt chưa cần thiết, tránh nhấp liên kết lạ, cập nhật phần mềm, và nếu có thể, sử dụng ví phần cứng để lưu trữ tài sản lâu dài.
FAQ
Venus có bị khai thác hợp đồng lõi không?
Venus cho biết hợp đồng lõi không bị khai thác; sự cố xuất phát từ phê duyệt của một ví người dùng, và giao thức đã tạm dừng một số tính năng để điều tra.
Số tiền bị lấy có thể được truy hồi không?
Khả năng truy hồi phụ thuộc vào pháp lý, hợp tác với các nhà cung cấp dịch vụ và hành động on-chain; thường xuyên khó khăn nếu tiền đã được đổi hoặc chuyển qua nhiều ví.
Làm sao để kiểm tra và thu hồi phê duyệt?
Sử dụng công cụ quản lý phê duyệt on-chain (revoke) qua ví hoặc dịch vụ đáng tin cậy để xem và thu hồi quyền truy cập của hợp đồng với ví của bạn.