Vụ tấn công ZEROBASE gây thiệt hại 240.000 USD cho nhà đầu tư

Chi tiết sự kiện

Một sự cố bảo mật gần đây đã nhắm vào giao thức ZEROBASE, nơi những kẻ tấn công đã thành công xâm nhập vào cơ sở hạ tầng front-end của nó. Vụ vi phạm đã gây ra thiệt hại tài chính vượt quá 240.000 USD, ảnh hưởng đến ít nhất 270 người dùng cá nhân. Vector tấn công không phải là sự thỏa hiệp trực tiếp các hợp đồng thông minh cơ bản mà là thao túng giao diện hướng tới người dùng, chuyển hướng tiền hoặc phê duyệt của người dùng đến các tác nhân độc hại. Phương pháp này làm nổi bật một bề mặt tấn công quan trọng và thường bị đánh giá thấp trong cảnh quan ứng dụng phi tập trung.

Tác động thị trường

Phản ứng thị trường tức thì đối với các tài sản liên quan đến giao thức ZEROBASE đã là giảm giá, phản ánh sự sụt giảm mạnh về niềm tin của nhà đầu tư. Sự kiện này nhấn mạnh một lỗ hổng quan trọng không chỉ giới hạn ở ZEROBASE, mà còn ảnh hưởng đến tất cả các nền tảng dựa vào front-end dựa trên web để tương tác với các giao thức blockchain. Sự cố này là một lời nhắc nhở rõ ràng rằng ngay cả với các hợp đồng thông minh đã được kiểm toán và an toàn, một front-end bị xâm phạm có thể dẫn đến mất mát tài chính đáng kể và trực tiếp cho người dùng. Thực tế này có thể thúc đẩy nhu cầu toàn thị trường về các biện pháp bảo mật front-end mạnh mẽ hơn và các giải pháp giám sát trên chuỗi.

Bình luận của chuyên gia

Mặc dù không có chuyên gia nào trực tiếp bình luận về sự cố ZEROBASE, nhưng bình luận về các sự kiện tương tự cung cấp ngữ cảnh liên quan. Công ty an ninh mạng Wiz, trong một phân tích gần đây về một lỗ hổng riêng biệt nhưng có cấu trúc tương tự, đã lưu ý về nguy hiểm của các lỗ hổng chưa được vá trong các thành phần hướng tới web. Nghiên cứu của họ về lỗ hổng zero-day của Gogs (CVE-2025-8110) đã tiết lộ rằng những kẻ tấn công có thể đạt được thực thi mã từ xa bằng cách bỏ qua các xác thực dường như mạnh mẽ thông qua các kỹ thuật như lạm dụng liên kết tượng trưng. Một nhà nghiên cứu cảnh báo, "Lỗ hổng phát sinh vì API ghi vào đường dẫn tệp mà không kiểm tra xem tệp đích có thực sự là một liên kết tượng trưng trỏ ra ngoài kho lưu trữ hay không. Điều này làm cho việc xác thực đường dẫn trước đó trở nên vô dụng."

Trong một trường hợp song song liên quan đến gian lận đầu tư, Jaime Marinaro, Phó Giám đốc Văn phòng Khu vực Fort Worth của SEC, đã tuyên bố, "Gauvin đã lợi dụng lòng tin của những người theo dõi trực tuyến của mình để thực hiện một vụ lừa đảo trắng trợn. Các nhà đầu tư nên luôn xác minh thông tin xác thực của bất kỳ ai cung cấp cơ hội đầu tư." Quan điểm này cũng áp dụng cho không gian DeFi, nơi niềm tin vào tính toàn vẹn của một giao thức là tối quan trọng.

Bối cảnh rộng lớn hơn

Vụ hack này không phải là một sự kiện cá biệt mà là một phần của xu hướng khai thác lớn hơn nhắm vào lớp ứng dụng của tài chính kỹ thuật số. Việc phát hiện gần đây về React2Shell (CVE-2025-55182), một lỗ hổng nghiêm trọng trong thư viện front-end React phổ biến, cho thấy rủi ro hệ thống liên quan. Các công ty bảo mật đã báo cáo rằng React2Shell đã bị khai thác để phân phối một loạt phần mềm độc hại, bao gồm cả trình đào tiền điện tử và backdoor, ảnh hưởng đến các dịch vụ mà hàng triệu người dùng tin tưởng. Các cuộc tấn công đã tận dụng lỗ hổng để đánh cắp thông tin xác thực đám mây và triển khai các phần mềm độc hại, với các công ty như Palo Alto Networks đã quan sát thấy việc phân phối các backdoor như BPFDoor.

Hơn nữa, lỗ hổng zero-day của Gogs (CVE-2025-8110) minh họa cách các tác nhân đe dọa có thể khai thác phần mềm chưa được vá, tiếp xúc với internet trong nhiều tháng, dẫn đến sự thỏa hiệp hàng loạt. Theo Wiz, hơn 700 phiên bản Gogs đã bị xâm phạm trong một chiến dịch tự động. Những sự cố này, kết hợp với vụ hack ZEROBASE, cho thấy rằng bảo mật của toàn bộ ngăn xếp công nghệ—từ mã cơ bản đến giao diện người dùng—là rất quan trọng để bảo vệ tài sản của nhà đầu tư trong nền kinh tế kỹ thuật số.