Trang web chính thức của dự án ra mắt memecoin Solana , Bonk Fun, đã bị chiếm đoạt. Một kẻ xấu đã chiếm quyền kiểm soát tên miền vào thứ Tư (ngày 11 tháng 3), triển khai một phần mềm rút tiền từ ví được ngụy trang dưới dạng một giao diện tương tác thông thường.
Đội ngũ quản lý nền tảng đã đưa ra cảnh báo khẩn cấp: không tương tác với trang web cho đến khi có thông báo mới. Người dùng kết nối ví điện tử và ký xác nhận theo hướng dẫn hiện tại sẽ ngay lập tức bị mất tài sản.
Khi tin tức về đồng tiền meme BONK lan rộng, giá trị của nó đã giảm gần 1% trong 24 giờ qua, sau một năm tồi tệ khi đồng tiền meme Solana mất tới 45% giá trị.
Đây không phải là thời điểm tốt để tấn công nền tảng, khi mà lĩnh vực tiền điện tử meme đã tăng +2,5% trong ngày, đưa tổng vốn hóa thị trường trở lại mức trên 32 tỷ đô la, với các token như Doge, PEPE, Memecore và SHIB đều đang có xu hướng tăng giá.
Kẻ xấu đã xâm nhập vào Front-End của Bonk Fun bằng cách nào?
Phương thức tấn công này khai thác lòng tin của người dùng chứ không phải cơ sở hạ tầng blockchain. Theo người dùng X SolportTom , nhà điều hành nền tảng, tin tặc đã chiếm đoạt tài khoản nhóm để ép buộc một phần mềm rút tiền tự động truy cập vào tên miền. Đây không phải là lỗi hợp đồng thông minh; mà là một vụ chiếm đoạt Front-End .
Hiện tại, khách truy cập trang web sẽ thấy một thông báo giả mạo về điều khoản dịch vụ. Cửa sổ bật lên này, bắt chước các yêu cầu tuân thủ tiêu chuẩn, chính là cơ chế kích hoạt.
Nếu bạn ký vào yêu cầu này, giao thức sẽ cấp cho kẻ tấn công quyền rút sạch ví của bạn, và điều này sẽ xảy ra trong vòng vài giây.
“Một kẻ xấu đã xâm nhập vào tên miền BONKfun,” nền tảng này thông báo qua tài khoản X chính thức của mình. “Vui lòng không tương tác với trang web cho đến khi chúng tôi khắc phục sự cố.”
Lượng nước đã bị rút cạn là bao nhiêu và những ai bị ảnh hưởng?
Nhóm Bonk.fun chưa xác nhận thiệt hại do vụ tấn công gây ra là bao nhiêu, nhưng cho biết tổn thất là "tối thiểu", lý giải là do các nhà phát triển đã nhanh chóng phát hiện ra vụ việc.
Chỉ những người dùng tương tác với thông báo điều khoản dịch vụ gian lận trong khoảng thời gian xảy ra vụ chiếm đoạt mới bị ảnh hưởng. Tuy nhiên, con số chính xác bằng đô la được xác minh bằng phân tích on-chain vẫn đang chờ kết quả.
Sự cố này phản ánh những rủi ro rộng hơn trong lĩnh vực này, khi một lỗi hệ thống oracle AAVE đã gây ra tình trạng thanh lý tài sản hồi đầu năm nay do các bất thường về giao diện và dữ liệu.
Mặc dù cơ chế hoạt động khác nhau, nhưng kết quả đối với tiền của người dùng là như nhau: một khoản lỗ bất ngờ do sự cố kỹ thuật.
Các cuộc tấn công lừa đảo kiểu này đang trở nên phổ biến rộng rãi. Theo Chainalysis , tổng thiệt hại do lừa đảo tiền điện tử gây ra ước tính đạt khoảng 17 tỷ đô la vào năm 2025.
Sự chuyển hướng sang tấn công chiếm đoạt tên miền cho thấy tin tặc đang vượt qua các biện pháp bảo mật giao thức để nhắm mục tiêu trực tiếp vào giao diện người dùng.
KHÁM PHÁ: Các đợt bán trước tiền điện tử tốt nhất nên mua trong năm 2026
Những việc người dùng Bonk.fun cần làm ngay bây giờ
Nếu bạn đã truy cập Bonk.fun trong vòng 24 giờ qua, hãy cho rằng bảo mật phiên truy cập của bạn đã bị xâm phạm. Các cuộc tấn công Front-End thường vượt qua các biện pháp phòng thủ tiêu chuẩn, như phát hiện gần đây của các nhà nghiên cứu Ledger về một lỗ hổng trên Android cho phép đánh cắp Seed Phrase ví đã chứng minh.
Hãy thực hiện ngay các bước sau:
- Ngắt kết nối ví của bạn: Xóa Bonk.fun khỏi danh sách các trang web đã kết nối trong cài đặt ví của bạn.
- Thu hồi quyền phê duyệt: Sử dụng một công cụ như Revoke.cash để thu hồi bất kỳ quyền nào được cấp gần đây cho các hợp đồng Bonk.fun.
- Kiểm tra lịch sử giao dịch: Xác minh rằng không có giao dịch chuyển tiền trái phép nào đã xảy ra.
“Chúng tôi hiểu rằng nhiều người đang lo sợ và điều đó là hoàn toàn dễ hiểu, nhưng chúng tôi đang làm mọi thứ trong khả năng của mình để khắc phục tình hình,” SolportTom viết.
Người dùng hiện nên kiên nhẫn chờ thông báo chính thức "đã an toàn" từ tài khoản Bonk.fun X trước khi quay lại trang web.
Nếu trang web vẫn bị xâm nhập trong vòng 24 giờ nữa, người dùng có thể sẽ chuyển sang các nền tảng khởi chạy đối thủ như Pump.fun, và Bonk.fun có thể sẽ gặp khó khăn trong việc lấy lại lượng người dùng còn lại.
Nếu nhóm xử lý sự cố chiếm đoạt DNS nhanh chóng và hoàn trả khoản thiệt hại "tối thiểu", niềm tin có thể được ổn định, nhưng áp lực hiện đang đè nặng lên các nhà điều hành để chứng minh tên miền an toàn.
KHÁM PHÁ: 16 loại tiền điện tử meme tốt nhất nên mua trong tháng 3 năm 2025
