Nhiều giao dịch đáng ngờ liên quan proxy contract trên Arbitrum (ARB) được phát hiện, ước tính thiệt hại khoảng 1,5 triệu USD và dòng tiền sau đó được chuyển sang Ethereum rồi nạp vào Tornado Cash.
Sự cố được ghi nhận ngày 5/1 theo cảnh báo từ Cyvers Alerts, với dấu hiệu kẻ tấn công chiếm quyền kiểm soát proxy thông qua thay đổi đặc quyền quản trị (ProxyAdmin).
- Phát hiện nhiều giao dịch đáng ngờ trên Arbitrum, thiệt hại ước tính 1,5 triệu USD.
- Nghi ngờ deployer dự án USDGambit và TLP mất quyền truy cập tài khoản.
- Tiền bị đánh cắp được bridge sang Ethereum và nạp vào Tornado Cash.
Diễn biến và cách chiếm quyền proxy
Phân tích sơ bộ cho thấy kẻ tấn công tận dụng việc deployer có thể đã mất quyền truy cập, rồi giành quyền kiểm soát proxy bằng cách cập nhật ProxyAdmin.
Cyvers Alerts ghi nhận nhiều giao dịch đáng ngờ liên quan các proxy contract trên Arbitrum (ARB), với thiệt hại ước tính khoảng 1,5 triệu USD. Dữ liệu ban đầu cho thấy một deployer duy nhất của các dự án USDGambit và TLP có thể đã mất quyền truy cập tài khoản, tạo điều kiện để kẻ tấn công leo thang đặc quyền kiểm soát.
Sau khi chiếm quyền, kẻ tấn công triển khai một hợp đồng mới và cập nhật đặc quyền quản trị proxy (ProxyAdmin) để nắm quyền điều khiển. Đây là điểm mấu chốt trong chuỗi hành động, vì cơ chế proxy cho phép thay đổi logic/điều phối theo quyền admin, dẫn tới khả năng rút hoặc chuyển tài sản thông qua hợp đồng bị kiểm soát.
Dòng tiền sau tấn công: bridge sang Ethereum và Tornado Cash
Tiền bị đánh cắp được chuyển từ Arbitrum sang mạng Ethereum, sau đó gửi vào Tornado Cash.
Theo báo cáo, sau khi rút được tài sản, kẻ tấn công đã bridge số tiền bị đánh cắp sang Ethereum. Việc chuyển chuỗi giúp mở rộng lựa chọn thanh khoản và công cụ che giấu dấu vết, đồng thời khiến quá trình theo dõi phức tạp hơn do liên quan hạ tầng cross-chain.
Cuối cùng, số tiền được nạp vào Tornado Cash. Chuỗi hành động bridge sang Ethereum rồi gửi vào dịch vụ trộn tiền điện tử này thường nhằm làm mờ nguồn gốc dòng tiền, gây khó khăn cho việc truy vết và thu hồi tài sản.
