Sàn Sàn phi tập trung (DEX) (Sàn phi tập trung (DEX) ) on-chain SwapNet đã trở thành nạn nhân của một vụ tấn công khai thác hợp đồng thông minh nghiêm trọng, khiến gần 16,8 triệu đô la tài sản tiền điện tử bị thất thoát.
Sự cố này nêu bật những rủi ro bảo mật dai dẳng liên quan đến việc phê duyệt Token và các hợp đồng định tuyến của bên thứ ba trong tài chính phi tập trung (DeFi ).
Sàn Dex Aggregator on-chain ( DEX) SwapNet bị tấn công mạng gây thiệt hại 16,8 triệu đô la.
PeckShield báo cáo rằng kẻ tấn công đã nhắm mục tiêu vào các hoạt động liên kết với SwapNet có thể truy cập thông qua Matcha Meta, một Dex Aggregator do nhóm 0x xây dựng.
Trên mạng Base, kẻ tấn công đã đổi khoảng 10,5 triệu USDC lấy khoảng 3.655 ETH trước khi chuyển số tiền này sang Ethereum , một chiến thuật phổ biến được sử dụng để làm phức tạp các nỗ lực theo dõi và thu hồi.
Matcha Meta khẳng định rằng sự cố này không bắt nguồn từ cơ sở hạ tầng cốt lõi của họ. Thay vào đó, những người dùng bị ảnh hưởng là những người đã từ chối hệ thống Phê duyệt một lần của 0x, một tính năng bảo mật được thiết kế để hạn chế quyền truy cập Token liên tục.
Những người dùng vô hiệu hóa tùy chọn này đã cấp quyền phê duyệt trực tiếp cho các hợp đồng tổng hợp cơ bản, bao gồm cả bộ định tuyến của SwapNet, điều này cuối cùng đã trở thành điểm yếu dễ bị tấn công.
Matcha Meta cho biết trong một tuyên bố: "Chúng tôi nhận thức được sự cố với SwapNet mà người dùng có thể đã gặp phải trên Matcha Meta đối với những người đã tắt tính năng phê duyệt một lần."
Nền tảng này xác nhận đang phối hợp với nhóm SwapNet, nhóm đã tạm thời vô hiệu hóa các hợp đồng bị ảnh hưởng trong khi quá trình điều tra vẫn đang tiếp diễn.
Để đề phòng, Matcha Meta khuyến cáo người dùng nên ngay lập tức thu hồi sự chấp thuận đối với các trang tổng hợp riêng lẻ nằm ngoài khuôn khổ Phê duyệt một lần của 0x.
Nền tảng này nhấn mạnh hợp đồng bộ định tuyến của SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) là phê duyệt cần thu hồi khẩn cấp nhất. Nếu không làm vậy, ví điện tử có thể bị lộ ngay cả sau khi lỗ hổng đã được khắc phục.
Sự đánh đổi về bảo mật trong DeFi: Tiện lợi so với an toàn trong bối cảnh các vụ tấn công hợp đồng thông minh ngày càng gia tăng.
Sự cố này phản ánh sự đánh đổi lâu dài trong DeFi giữa sự tiện lợi và bảo mật. Phê duyệt một lần yêu cầu người dùng phê duyệt từng giao dịch riêng lẻ, giảm thiểu các bề mặt tấn công dai dẳng. Tuy nhiên, điều này cũng gây thêm khó khăn cho những người giao dịch thường xuyên.
Việc phê duyệt không giới hạn, mặc dù nhanh hơn, cho phép hợp đồng thông minh có quyền truy cập lâu dài vào tiền của người dùng. Tuy nhiên, cách sắp xếp này trở nên nguy hiểm khi các hợp đồng đó bị xâm phạm.
SwapNet vẫn chưa công bố báo cáo phân tích kỹ thuật đầy đủ sau sự cố hoặc cho biết liệu người dùng bị ảnh hưởng có được bồi thường hay không. Điều này làm dấy lên nhiều câu hỏi về trách nhiệm và khả năng khắc phục.
Việc thiếu thông tin rõ ràng ngay lập tức có thể làm gia tăng sự giám sát xung quanh các quy trình phê duyệt và tích hợp các công cụ tổng hợp trong toàn bộ hệ sinh thái DeFi .
Một lỗ hổng bảo mật khác trên Ethereum làm nổi bật rủi ro của các hợp đồng chưa được kiểm chứng và có nguồn đóng.
Vụ tấn công này diễn ra trong bối cảnh xu hướng tấn công hợp đồng thông minh và các sự cố bảo mật ngày càng gia tăng trên thị trường tiền điện tử .
Cùng ngày, chuyên gia kiểm toán bảo mật Pashov đã phát hiện một lỗ hổng bảo mật khác trên mạng chính Ethereum liên quan đến khoảng 37 WBTC, trị giá hơn 3,1 triệu đô la.
Điều này có liên quan đến một hợp đồng mã nguồn đóng, chưa được xác minh, được triển khai chỉ 41 ngày trước đó. Hợp đồng chỉ công bố mã bytecode không thể đọc được bằng mắt thường, ngăn cản việc xem xét công khai.
Nhìn chung, các sự cố này cho thấy có rất nhiều mảnh đất màu mỡ cho tin tặc tấn công trong DeFi. Đó là:
- Mã chưa được xác minh
- Phê duyệt liên tục và
- Các lớp định tuyến phức tạp.
Bất chấp nhiều năm kiểm toán và cải tiến bảo mật, DeFi vẫn tiếp tục phải đối mặt với các lỗ hổng cấu trúc. Điều này đặt gánh nặng lên các nhà phát triển và người dùng trong việc cân bằng giữa tính khả dụng và quản lý rủi ro.
