ZetaChain cho biết vụ khai thác trị giá 334.000 USD có thể đã được ngăn chặn nếu các báo cáo lỗi trước đó được xử lý sớm hơn.
Trong báo cáo hậu kiểm, dự án thừa nhận lỗ hổng ở cầu nối mà kẻ tấn công tận dụng đã từng được gửi qua chương trình bug bounty, nhưng các báo cáo ban đầu bị bỏ qua vì hành vi gọi hàm tùy ý bị xem là có chủ đích.
Báo cáo nói rằng loại lỗ hổng này đã được gửi trước khi vụ khai thác xảy ra qua chương trình bug bounty của dự án. Các báo cáo ban đầu bị gạt đi vì hành vi gọi hàm tùy ý được xem là do thiết kế.
– ZetaChain, báo cáo hậu kiểm
Sau sự cố, ZetaChain cho biết sẽ rà soát toàn bộ các báo cáo bug bounty để bảo đảm những báo cáo liên quan đến hướng tấn công liên chuỗi được đánh giá đúng mức độ nghiêm trọng. Dự án cũng nói rằng số tiền bị rút ra là từ các ví do giao thức kiểm soát, không phải tiền của người dùng.
Vì sao sự cố của ZetaChain được nhắc đến nhiều
Điểm đáng chú ý không nằm ở quy mô thiệt hại riêng lẻ, mà ở việc lỗ hổng đã xuất hiện trong quy trình tiếp nhận lỗi trước đó. Khi một vấn đề đã được báo cáo nhưng không được xử lý đúng mức, rủi ro không còn nằm ở bản thân mã nguồn mà còn ở khâu đánh giá và phản hồi nội bộ.
Dữ liệu hiện có chưa cho thấy chi tiết kỹ thuật đầy đủ về toàn bộ chuỗi tấn công, ngoài việc dự án cho biết lỗ hổng ở gateway đã bị khai thác. Phần còn thiếu là cách báo cáo ban đầu bị đánh giá sai và vì sao các dấu hiệu thử nghiệm trước vụ khai thác không được phát hiện sớm hơn.
Thiệt hại trong tháng 4 đã vượt 600 triệu USD
Theo dữ liệu do DeFiLlama theo dõi, tổng thiệt hại từ các vụ tấn công crypto trong tháng 4 lên tới 629 triệu USD, mức cao nhất theo tháng trong năm 2026 tính đến thời điểm đó. Đây cũng là mức tổn thất lớn nhất nếu nhìn theo so sánh cùng kỳ.
Trong riêng tuần này, Aftermath Perps mất 1,14 triệu USD, còn Sweat Foundation bị xâm phạm 3,5 triệu USD. ZetaChain, Judao, Scallop Lend, Syndicate và Quant cũng chịu các vụ khai thác với mức thiệt hại từ 150.000 USD đến 413.000 USD mỗi trường hợp.
Tuần trước đó, Volo Vault, Purrlend và Giddy cũng được thêm vào danh sách nạn nhân. Trường hợp lớn nhất trong tháng 4 là vụ khai thác Kelp DAO trị giá 293 triệu USD, sau đó kéo theo dòng tiền rời khỏi nhiều giao thức DeFi.
Những gì vụ ZetaChain cho thấy về an ninh giao thức
Từ các dữ kiện hiện có, vấn đề cốt lõi nằm ở việc nhận diện và ưu tiên xử lý tín hiệu cảnh báo sớm. ZetaChain nói đã có báo cáo lỗi trước đó, trong khi dự án cũng đề cập đến các bước thử nghiệm của kẻ tấn công trước khi khai thác. Tuy nhiên, chưa có thêm chi tiết công khai để kết luận mức độ phát hiện sớm của hệ thống giám sát đe dọa.
Phần còn lại của bức tranh là áp lực ngày càng lớn lên các giao thức trước những phương thức tấn công phức tạp hơn. Dữ liệu trong đoạn này chưa cho thấy mô hình phòng thủ nào đủ để chặn hoàn toàn các vụ việc tương tự, nhưng nó cho thấy lỗi xử lý báo cáo và giám sát bất thường đều có thể làm tăng thiệt hại khi sự cố xảy ra.
Tổng kết
Vụ khai thác 334.000 USD của ZetaChain nổi bật vì lỗ hổng đã từng được báo cáo nhưng không được xử lý đúng mức. Cùng lúc, tổng thiệt hại từ các vụ tấn công crypto trong tháng 4 đã lên tới 629 triệu USD, cho thấy rủi ro an ninh vẫn là một điểm yếu lớn của ngành.
