Matcha Meta Bị Rút Cạn 16,8 Triệu USD Trong Vụ Tấn Công SwapNet

Nền tảng giao dịch phi tập trung Matcha Meta đang chao đảo sau một sự cố bảo mật nghiêm trọng liên quan đến hợp đồng SwapNet dẫn đến ước tính 16,8 triệu USD tài sản bị đánh cắp.

Công ty bảo mật Blockchain PeckShield đã đầu tiên phát hiện lỗ hổng này, tiết lộ rằng kẻ tấn công nhanh chóng chuyển đổi một phần lớn số tiền bị đánh cắp sang Ethereum trước khi bắt đầu chuyển tài sản qua các chuỗi.

Vi phạm đã kích hoạt việc đóng cửa ngay lập tức các hợp đồng bị ảnh hưởng, khi Matcha Meta vội vã ngăn chặn thêm tổn thất. Các hợp đồng SwapNet hiện đã bị vô hiệu hóa tạm thời và các khoản phân bổ trực tiếp cho aggregator đã bị xóa trên toàn nền tảng.

Trong khi các cuộc điều tra vẫn đang tiếp tục, vẫn chưa rõ liệu có bất kỳ quỹ người dùng nào đã được khôi phục hay không.

Sự cố một lần nữa làm nổi bật những rủi ro ngày càng tăng gắn liền với phê duyệt token vĩnh viễn và cơ sở hạ tầng aggregator phức tạp trong DeFi.

Kẻ Tấn Công Chuyển Đổi Hàng Triệu USD Trên Base Trước Khi Chuyển Sang Ethereum

Dữ liệu trên chuỗi cho thấy lỗ hổng diễn ra rất nhanh.

Kẻ tấn công tập trung vào Base, nơi khoảng 10,5 triệu USD USDC đã được swap lấy khoảng 3,655 ETH trong khoảng thời gian ngắn. Sau khi hoàn tất chuyển đổi, các khoản tiền nhanh chóng được chuyển sang Ethereum, một tuyến đường rửa tiền phổ biến do thanh khoản sâu hơn và cơ sở hạ tầng DeFi rộng hơn.

Mô hình này giống với nhiều cuộc khai thác DeFi gần đây, nơi kẻ tấn công:

• Rút cạn tài sản từ hợp đồng thông minh

• Chuyển đổi thành token có thanh khoản cao như ETH

• Chuyển tiền qua các mạng

• Che giấu dấu vết bằng cách sử dụng các giao thức phi tập trung

Tốc độ thực hiện cho thấy kẻ tấn công đã chuẩn bị kỹ lưỡng và có khả năng theo dõi chặt chẽ hành vi hợp đồng của SwapNet trước khi tấn công.

Các nhà phân tích bảo mật tiếp tục truy vết các chuyển động ví khi tiền lan rộng qua các địa chỉ dựa trên Ethereum.

Hợp Đồng SwapNet Bị Vô Hiệu Hóa Khi Phản Ứng Khẩn Cấp Bắt Đầu

Matcha Meta đã hành động nhanh chóng khi lỗ hổng xuất hiện.

Nhóm đã xác nhận rằng tất cả các hợp đồng SwapNet đã bị đóng cửa tạm thời và các khoản phân bổ aggregator liên kết trực tiếp với Matcha Meta đã bị xóa như một biện pháp phòng ngừa.

Hành động khẩn cấp này nhằm ngăn chặn bất kỳ chuyển khoản trái phép nào khác trong khi các nhóm bảo mật phân tích vi phạm.

Tuy nhiên, việc vô hiệu hóa hợp đồng không đảo ngược các giao dịch đã được thực hiện trên chuỗi, có nghĩa là các khoản tiền bị đánh cắp có khả năng không thể khôi phục được trừ khi các điểm xuất tập trung đóng băng tài sản sau này trong quá trình rửa tiền.

Cho đến nay, Matcha Meta chưa xác nhận liệu các quỹ bảo hiểm, hoàn tiền hoặc nỗ lực khôi phục có được triển khai cho người dùng bị ảnh hưởng hay không.

Nền tảng đã kêu gọi tất cả người dùng ngay lập tức xem xét và thu hồi các phê duyệt token hiện có liên kết với aggregator.

Phê Duyệt Token Vĩnh Viễn Được Xác Định Là Rủi Ro Cốt Lõi

Lỗ hổng một lần nữa phơi bày một trong những lỗ hổng thiết kế nguy hiểm nhất của DeFi: phê duyệt token không giới hạn.

Nhiều người dùng cấp quyền vĩnh viễn cho aggregator và hợp đồng thông minh để thuận tiện khi swap token. Mặc dù điều này giảm ma sát, nhưng nó cũng tạo ra một lỗ hổng thường trực.

Một khi kẻ xấu có quyền truy cập vào một hợp đồng bị xâm phạm hoặc đường dẫn khai thác, họ có thể rút cạn ví đã được phê duyệt ngay lập tức, mà không cần thêm chữ ký của người dùng.

Ai có nhiều rủi ro nhất:

• Người dùng có phê duyệt dài hạn cho aggregator

• Ví bỏ qua hệ thống phê duyệt một lần

• Nhà giao dịch tương tác với hợp đồng thông minh mới hơn

Các chuyên gia bảo mật hiện nhấn mạnh rằng phê duyệt không giới hạn nên được tránh hoàn toàn, đặc biệt khi sử dụng cơ sở hạ tầng DeFi thử nghiệm.

Matcha Meta đặc biệt khuyên người dùng thu hồi bất kỳ phê duyệt nào được kết nối với SwapNet và các aggregator khác ngoài khung phê duyệt Một lần của 0x.

Người Dùng Được Kêu Gọi Thu Hồi Quyền Và Chuyển Sang Phê Duyệt Một Lần

Sau hậu quả của lỗ hổng, hướng dẫn bảo mật khẩn cấp đang lưu hành trên các cộng đồng tiền mã hóa.

Các hành động được khuyến nghị bao gồm:

• Ngay lập tức thu hồi tất cả phê duyệt token liên kết với Matcha Meta và SwapNet

• Xem xét quyền ví trên trình khám phá khối hoặc công cụ quản lý phê duyệt

• Sử dụng phê duyệt một lần bất cứ khi nào swap token

• Chỉ tương tác với aggregator đáng tin cậy và đã được kiểm toán

Phê duyệt một lần đảm bảo rằng hợp đồng thông minh chỉ có thể truy cập token cho một giao dịch duy nhất thay vì vô thời hạn.

Cách tiếp cận này giảm đáng kể rủi ro, ngay cả khi một giao thức sau này bị xâm phạm.

Khi hoạt động DeFi ngày càng phức tạp hơn, quản lý quyền ngày càng trở nên quan trọng như bảo mật khóa riêng tư.

Các Lỗ Hổng DeFi Tiếp Tục Tăng Khi Phương Pháp Tấn Công Ngày Càng Phức Tạp

Sự cố Matcha Meta bổ sung vào danh sách ngày càng tăng các vi phạm DeFi có giá trị cao trong năm 2025 và đầu năm 2026.

Thay vì các lỗi hợp đồng thông minh đơn giản, nhiều lỗ hổng hiện đại hiện nay liên quan đến:

• Lạm dụng quyền

• Điểm yếu định tuyến aggregator

• Lỗ hổng cầu nối cross-chain

• Thao túng thanh khoản

Kẻ tấn công không còn chỉ dựa vào lỗi mã hóa, họ khai thác cách người dùng tương tác với các giao thức theo thời gian.

Phê duyệt không giới hạn, hệ thống hợp đồng thông minh nhiều lớp và cơ sở hạ tầng đa chuỗi tạo ra một bề mặt tấn công mở rộng mà tin tặc ngày càng có kỹ năng điều hướng.

Các công ty bảo mật đã cảnh báo nhiều lần rằng khi DeFi mở rộng quy mô, quản lý rủi ro phía người dùng phải cải thiện cùng với kiểm toán giao thức.

Nếu không có tiêu chuẩn phê duyệt tốt hơn, biện pháp bảo vệ cấp ví và giới hạn giao dịch tích hợp, các sự cố tương tự có khả năng tiếp tục xảy ra.

Một Lời Nhắc Nhở Nghiêm Khắc Cho Cả Người Dùng Và Nền Tảng DeFi

Lỗ hổng SwapNet trị giá 16,8 triệu USD là một lời nhắc nhở đau đớn khác rằng sự tiện lợi trong DeFi thường đi kèm với chi phí bảo mật.

Đối với người dùng, phê duyệt vĩnh viễn có thể âm thầm biến ví thành két mở.

Đối với các nền tảng, hệ thống aggregator phức tạp giới thiệu các vectơ rủi ro đòi hỏi giám sát liên tục và khả năng phản ứng nhanh chóng.

Trong khi tài chính phi tập trung tiếp tục hướng tới việc áp dụng chính thống, mỗi lỗ hổng làm chậm lại niềm tin, tăng áp lực quản lý và củng cố nhu cầu về cơ sở hạ tầng an toàn hơn.

Cho đến khi các hệ thống phê duyệt trở nên bảo vệ người dùng hơn theo mặc định, trách nhiệm sẽ tiếp tục đè nặng lên cá nhân để bảo mật ví của họ.

Bây giờ, thông điệp trên khắp tiền mã hóa rất rõ ràng:

• Thu hồi phê duyệt cũ.
• Sử dụng quyền một lần.
• Đối xử với quyền truy cập hợp đồng thông minh như khóa riêng tư.

Bởi vì trong DeFi, một phê duyệt bị lãng quên có thể tốn hàng triệu đô la.

Tiết lộ: Đây không phải là lời khuyên giao dịch hoặc đầu tư. Luôn tự nghiên cứu trước khi mua bất kỳ tiền mã hóa nào hoặc đầu tư vào bất kỳ dịch vụ nào.

Theo dõi chúng tôi trên Twitter @nulltxnews để cập nhật tin tức mới nhất về Crypto, NFT, AI, Cybersecurity, Distributed Computing và Metaverse!