# Synaplogic đã bị tấn công và một lỗ hổng trong hợp đồng đã gây ra thiệt hại vượt quá 180.000 đô la.
4 quan điểm từ KOL
loading indicator
Loading..
Phân tích sâu
51
11
Bình luận
Phân tích sâu
Được hỗ trợ bởi Asksurf.ai

Phân tích toàn diện về cuộc tấn công SYNAPLOGIC

Tóm lại

Vào ngày 20 tháng 1 năm 2026, SynapLogic, một dự án hệ sinh thái trò chơi AI trên Chuỗi Base, đã bị tấn công lỗ hổng hợp đồng thông minh, dẫn đến thiệt hại khoảng 186.000 đô la. Kẻ tấn công đã khai thác lỗ hổng xác minh tham số hệ thống giới thiệu bị thiếu, sử dụng Khoản vay nhanh để rút ETH quá mức trong 193 giao dịch đáng ngờ và đúc khoảng 144.000 token SYP (không thể bán được do cơ chế khóa vị thế). Nhóm dự án đã tạm ngừng hợp đồng và khắc phục lỗ hổng lúc 04:44 UTC, xác nhận an toàn cho tất cả tiền của người dùng; thiệt hại chỉ giới hạn trong kho lưu trữ của giao thức.

Tổng quan sự kiện

Thông tin cơ bản

Thời gian tấn công : 20 tháng 1 năm 2026. Cảnh báo an ninh đầu tiên được phát ra lúc 02:06 UTC, và BlockSec/Phalcon phát ra cảnh báo lúc 02:32.

Dự án bị ảnh hưởng : SynapLogic (@SynapLogic)

  • Một hệ sinh thái trò chơi Web3 Layer-2 được hỗ trợ bởi trí tuệ nhân tạo, xây dựng trên Chuỗi.
  • Cung cấp các công cụ phát triển game Chuỗi, thị trường NFT, ví điện tử và cơ sở hạ tầng.
  • Trang web chính thức: https://synaplogic.ai/
  • Người hâm mộ trên Twitter: 82.124 (tính đến tháng 1 năm 2026)

Thông tin token thông báo :

  • Ký hiệu token: SYP (SYNAP LOGIC)
  • Địa chỉ liên hệ: 0x2bdd3602fc526aa5cc677cd708375dd2f7c4256f (Chuỗi cơ sở)
  • Tổng lượng cung ứng: 300 triệu
  • Giá tại thời điểm tấn công: 1,37-1,38 USD
  • Giá trị định giá sau khi pha loãng hoàn toàn (FDV): 411,8 triệu đô la

Phân tích cơ chế dễ bị tổn thương

Thông tin kỹ thuật chi tiết

Vị trí lỗ hổng : Hàm ` swapExactTokensForETHSupportingFeeOnTransferTokens (bộ chọn hàm 0x670a3267) trong phần triển khai hợp đồng (địa chỉ bắt đầu bằng 0xC859).

Lỗi cốt lõi :

  1. Thiếu xác thực tham số : Chức năng này không xác thực các tham số đầu vào; tham số thứ ba điều khiển logic danh sách trắng/đề xuất nhưng có thể bị thao túng tùy ý.
  2. Thiếu xác nhận thanh toán : Tổng số tiền ETH thanh toán không được xác minh là vượt quá msg.value, cho phép kẻ tấn công tự thiết lập mình làm địa chỉ nhận tiền lần.
  3. Lỗ hổng bảo mật liên quan đến phần thưởng giới thiệu : Kẻ tấn công có thể liên tục tự thêm mình vào danh sách người giới thiệu (tối đa 31 lần) và nhận được phần thưởng lên đến hơn 310%.

Quá trình tấn công

  1. Chuẩn bị nguồn vốn : Kẻ tấn công đã trộn các loại tiền điện tử trên mạng chủ Ethereum bằng Tornado Cash và kết nối với Chuỗi cơ sở bằng dịch vụ GasZip.
  2. Chu kỳ Khoản vay nhanh : Trong 193 giao dịch đáng ngờ, sau lần vay ETH:
    • Sử dụng hợp đồng dễ bị tổn thương và thao túng danh sách đề xuất.
    • Lần đúc khoảng 16.000 token SYP.
    • Rút ngay phần thưởng ETH dư thừa (lợi nhuận lên đến 310%).
  3. Cơ chế khóa token : đúc không thể chuyển nhượng hoặc bán do cơ chế khóa vị thế/quyền sở hữu, ngăn chặn kẻ tấn công bán phá giá trên thị trường.

bằng chứng trên Chuỗi

Các hợp đồng bị ảnh hưởng

Loại hợp đồng Địa chỉ minh họa
Hợp đồng Token SYP 0x2bdd3602fc526aa5cc677cd708375dd2f7c4256f Hợp đồng Chuỗi chuỗi cung ứng cơ bản
Thực hiện hợp đồng dựa trên lỗ hổng bảo mật 0xC859... Địa chỉ một phần chứa các hàm dễ bị tổn thương
Các nhóm thanh khoản 0x1558a635e0234dbf958ad3faf32edd350e4fc966 Số dư dự trữ 219.200 đô la, được tạo vào ngày 8 tháng 10 năm 2025.

Đặc điểm tấn công

  • Số lượng giao dịch đáng ngờ : 193
  • Tổng lượng token đúc : Khoảng 144.000 SYP (hiện đang khóa vị thế )
  • Số lượng đúc lần : Khoảng 16.000 đồng SYP
  • Nguồn tài trợ : Bộ trộn Tornado Cash → Chuỗi GasZip → Chuỗi cơ sở
  • Địa chỉ nhận tiền : Vẫn nằm trong hợp đồng của kẻ tấn công; không được chuyển đến sàn giao dịch hoặc các địa chỉ khác.

Đánh giá tổn thất

Chênh lệch về số tiền thiệt hại

nguồn Ước tính thiệt hại minh họa
BlockSec/Phalcon/ Bitget/ Phemex Khoảng 186.000 USD Bao gồm cả việc định giá tình rút quá mức ETH và đúc SYP.
TenArmor/MEXC Khoảng 88.000 USD Số lượng ETH thực tế rút
Cyvers 144.000 SYP Token đúc nhưng không thể bán được.

Phạm vi ảnh hưởng

  • Kho tiền bị thiệt hại trực tiếp, ước tính khoảng từ 88.000 đến 186.000 đô la.
  • Tiền của người dùng : Không mất mát; nhóm dự án xác nhận sự an toàn của tất cả tài sản người dùng.
  • Lợi nhuận của kẻ tấn công : Khoảng 88.000 đô la Mỹ tiền ETH thực tế; SYP đúc không thể rút tiền mặt do khóa vị thế.

Phản hồi của cộng đồng

Phân tích của cơ quan an ninh

BlockSec Phalcon : Nhấn mạnh rằng việc thiếu xác thực tham số và kiểm tra thanh toán là những lỗi triển khai quan trọng, cho phép rút.

Weilin Li (@hklst4r) : Đã phân tích lỗi logic việc kinh doanh trong hệ thống đề xuất, chỉ ra rằng kẻ tấn công đã sử dụng tham chiếu tự thân lần để đạt được lợi nhuận hơn 300%, và giải thích rằng khóa vị thế đã ngăn chặn việc thanh lý token.

Cảnh báo CertiK : Thông báo về 193 giao dịch đúc tiền đáng ngờ sử dụng Khoản vay nhanh, kêu gọi cảnh giác đối với các hợp đồng chưa được xác minh.

Cảnh báo từ Cyvers : Đang theo dõi quá trình gây quỹ và đường đi xuyên Chuỗi của kẻ tấn công thông qua Tornado Cash, lưu ý rằng số lượng SYP vị thế giữ vẫn chưa được giải quyết sau khi khắc phục sự cố.

Tâm lý cộng đồng

  • Trọng tâm kỹ thuật : Các chuyên gia bảo mật chỉ ra những lỗ hổng trong logic việc kinh doanh của hợp đồng DeFi, kêu gọi tăng cường xác thực tham số và cơ chế tham chiếu để bảo vệ.
  • Phản hồi nhanh chóng : Phản hồi nhanh chóng từ nhóm dự án và công ty bảo mật được xem là yếu tố tích cực, giúp giảm thiểu sự nghi ngờ và lo ngại thông qua tính minh bạch.
  • Tâm lý chung : Các chuyên gia có những lo ngại về mặt kỹ thuật, nhưng các kênh thông chính thức duy trì lập trường trung tính đến trấn an, nhấn mạnh đến sự an toàn của các khoản tiền.
  • Bài học kinh nghiệm trong ngành : Các vụ tấn công Khoản vay nhanh nhấn mạnh sự cần thiết phải kiểm toán các cơ chế chuyển phí.

Thông cáo chính thức

Tài khoản Twitter chính thức của SynapLogic đã đưa ra một tuyên bố vào ngày 20 tháng 1 năm 2026 lúc 04:44 UTC:

Vấn đề đã được giải quyết hoàn toàn. Hệ thống SynapLogic hiện đang hoạt động bình thường và tất cả tiền của người dùng vẫn được an Safe tuyệt đối.

Các bước tiếp theo :

  • Hợp đồng đã bị tạm đình chỉ.
  • Hợp đồng dễ bị tổn thương đã được xóa khỏi danh sách giám sát của BlockSec (UTC 03:11).
  • Tính đến 20:50 UTC ngày 20 tháng 1 năm 2026, chưa có thêm khoản tiền nào được rút ra hoặc tiến triển phục hồi nào báo cáo.

Những diễn biến gần đây của dự án

ngày sự kiện
Ngày 8 tháng 10 năm 2025 Khởi thanh khoản bể thanh khoản
Ngày 7 tháng 1 năm 2026 Sự kiện Airdrop ra mắt.
Ngày 12 tháng 1 năm 2026 75% giao dịch đặt trước đã hoàn tất
Ngày 13 tháng 1 năm 2026 Ra mắt Binance Web3
Ngày 18 tháng 1 năm 2026 OKX Web3 ra mắt
Ngày 20 tháng 1 năm 2026, 02:06 UTC Cảnh báo an ninh đầu tiên được ban hành.
Ngày 20 tháng 1 năm 2026, 04:44 UTC Thông báo chính thức xác nhận vấn đề đã được giải quyết.
Ngày 20 tháng 1 năm 2026, 12:15 UTC Ra mắt Gate Web3

tóm lại

Vụ tấn công SynapLogic nhấn mạnh tầm quan trọng của việc xác thực logic việc kinh doanh của các hợp đồng thông minh DeFi. Mặc dù thiệt hại lên tới 186.000 đô la, phản ứng nhanh chóng của dự án và việc không có người dùng nào mất tiền đã giảm thiểu tác động lâu dài. 144.000 token SYP do kẻ tấn công đúc không thể thanh lý do cơ chế khóa vị thế, ngăn chặn áp lực bán ra trên thị trường. Sự cố lần đưa ra một cảnh báo an ninh quan trọng cho các dự án hệ sinh thái trò chơi Web3: các hệ thống giới thiệu và phần thưởng phức tạp phải trải qua quá trình xác thực tham số và kiểm toán giới hạn nghiêm ngặt, đặc biệt là đối với các chức năng hợp đồng liên quan đến chuyển phí và Khoản vay nhanh.

Tìm hiểu thêm từ Surf