SlowMist gắn cờ lỗ hổng Milady Strategy, viện dẫn tiền lệ khai thác TokenWorks

Tóm tắt điều hành

Công ty bảo mật blockchain SlowMist đã phát hiện hoạt động đáng ngờ tiềm ẩn liên quan đến Milady Strategy, gán lỗ hổng này cho một cơ chế tương tự như cơ chế đã từng bị khai thác trong các chiến lược NFT của TokenWorks, thúc đẩy sự cảnh giác tăng cường của thị trường.

Chi tiết sự kiện

SlowMist đã xác định một lỗ hổng bảo mật tiềm năng trong giao thức Milady Strategy, khuyên người dùng nên thận trọng. Công ty này đã liên kết rõ ràng hoạt động được phát hiện với một loại lỗ hổng đã từng được quan sát trong hoạt động của TokenWorks, nơi tin tặc đã khai thác các hợp đồng để hoán đổi NFT có giá trị cao bằng các lựa chọn thay thế có giá trị thấp. Mã thông báo Milady Strategy ($MLDSTR) hoạt động như một tài sản ERC-20 trên Ethereum với nguồn cung cố định là 1 tỷ mã thông báo, được thiết kế để củng cố hệ sinh thái Milady NFT. Nó không có phí giao dịch, với tính thanh khoản hoàn toàn bị khóa trên Uniswap V2 và quyền sở hữu đã bị từ bỏ, biểu thị một mô hình hoạt động phi tập trung. Địa chỉ hợp đồng của mã thông báo là 0xfb96e5da37163d6cbea9d5cd5196dd55b70994b7. Mặc dù các công cụ tài chính cụ thể liên quan đến lỗ hổng hiện tại không được chi tiết, nhưng cấu trúc mã thông báo cơ bản là rất quan trọng để hiểu tác động tiềm tàng. Hệ sinh thái Milady rộng lớn hơn, bất chấp những tranh cãi trong quá khứ xung quanh người tạo ra nó và những hình ảnh được mã hóa bị cáo buộc, đã thể hiện khả năng phục hồi, được đánh dấu bằng việc ra mắt mã thông báo CULT đã đạt đỉnh vốn hóa thị trường gần 500 triệu đô la.

Tác động thị trường

Lỗ hổng được xác định trong Milady Strategy mang lại những tác động đáng kể cho người dùng và bối cảnh DeFi rộng lớn hơn. Người dùng tương tác với Milady Strategy hoặc các giao thức tương tự phải đối mặt với nguy cơ mất tài sản và biến động giá tiềm tàng đối với các mã thông báo liên quan, bao gồm $MLDSTR. Các sự cố bảo mật như vậy có thể làm xói mòn niềm tin vào các giao thức bị ảnh hưởng và có thể dẫn đến các cuộc kiểm toán bảo mật nghiêm ngặt hơn trên toàn bộ hệ sinh thái Web3. Tình hình này như một lời nhắc nhở rõ ràng về những rủi ro bảo mật dai dẳng phổ biến trong tài chính phi tập trung. Toàn bộ lĩnh vực Web3 đã ghi nhận hơn 3,1 tỷ đô la thiệt hại trong nửa đầu năm 2025, vượt quá tổng số của cả năm 2024, làm nổi bật một bối cảnh đe dọa leo thang. Các vector tấn công đã phát triển từ các lỗi đơn giản thành các khai thác đa giai đoạn phức tạp nhắm mục tiêu vào các lỗ hổng trên chuỗi kết hợp với thao túng ngoài chuỗi.

Bình luận của chuyên gia

Các chuyên gia bảo mật blockchain và báo cáo ngành liên tục nhấn mạnh bản chất phát triển của các mối đe dọa trong Web3. Phân tích của Hacken chỉ ra rằng các lỗ hổng bảo mật hoạt động, đặc biệt là các lỗ hổng kiểm soát truy cập, là động lực chính gây ra tổn thất tài chính, chiếm khoảng 59% tổng số vào năm 2025. Các lỗ hổng hợp đồng thông minh đóng góp khoảng 263 triệu đô la, hoặc 8% tổng số tổn thất. Các vụ xâm phạm ví và tấn công lừa đảo đã dẫn đến tổng thiệt hại vượt quá 2,1 tỷ đô la trong cùng kỳ, thường được tạo điều kiện bởi các bộ công cụ lừa đảo dưới dạng dịch vụ. Đồng sáng lập SlowMist Yu Xian trước đây đã nhấn mạnh sự trớ trêu của việc một kẻ tấn công tinh vi lại trở thành nạn nhân của "bẫy ủy quyền cơ bản" trong vụ khai thác UXLINK, nhấn mạnh rằng những điểm yếu ở cấp độ con người và quy trình ngày càng bị nhắm mục tiêu. CoinMarketCap cũng đã đưa ra các cảnh báo công khai cảnh báo người dùng về sự tràn lan của các kế hoạch mã thông báo giả mạo và nhu cầu cấp thiết phải thực hiện thẩm định và xác minh tính xác thực của mã thông báo trước khi tham gia vào các giao dịch.

Bối cảnh rộng hơn

Cảnh báo bảo mật Milady Strategy là biểu tượng cho những thách thức mà không gian Web3 non trẻ đang đối mặt. Sự phức tạp ngày càng tăng của hệ sinh thái, với sự tích hợp của Layer 2s, Layer 3s, các giao thức tái cam kết và các tác nhân AI, làm tăng thêm rủi ro bảo mật. Sự cố này củng cố nhu cầu về các thực hành bảo mật nghiêm ngặt, cả cho các nhà phát triển và người dùng cuối. Kiểm soát truy cập, người ký bị xâm phạm, khóa riêng bị rò rỉ và cài đặt đa chữ ký bị cấu hình sai vẫn là những điểm yếu nghiêm trọng. Các giao thức và người dùng được khuyên nên xác minh tất cả các bề mặt tương tác, triển khai danh sách cho phép mã thông báo rõ ràng, đảm bảo kiểm tra mức độ chi tiết quyền ở cấp độ ví và sử dụng các bản xem trước giao dịch trên ví cứng để ngăn chặn các phê duyệt độc hại. Dòng chảy liên tục các vụ khai thác, từ vụ vi phạm UXLINK đến vụ hack Cetus, cho thấy rằng bất chấp những tiến bộ công nghệ, sự cảnh giác của con người và bảo mật hoạt động mạnh mẽ vẫn là tối quan trọng trong việc bảo vệ tài sản kỹ thuật số trong thị trường tiền điện tử đầy biến động.