TrustedVolumes, một nhà tạo lập thị trường DeFi, đã mất khoảng 6,7 triệu USD tài sản kỹ thuật số sau khi kẻ tấn công khai thác lỗ hổng trong cơ sở hạ tầng hoán đổi tùy chỉnh của họ trên Ethereum. Công ty, hoạt động như một resolver cho giao thức 1inch Fusion, đã xác nhận vụ vi phạm và cho biết số tiền bị đánh cắp đang được giữ trong ba ví Ethereum riêng biệt.
"Nguyên nhân gốc rễ là sự kết hợp của việc đăng ký người ký không cần cấp phép, bảo vệ chống phát lại (replay protection) bị hỏng và trường nguồn chuyển khoản không được xác thực," Hakan Unal, trưởng bộ phận hoạt động bảo mật cấp cao tại công ty bảo mật tiền điện tử Cyvers, nói với Decrypt. Công ty bảo mật Blockaid là đơn vị đầu tiên gắn cờ hoạt động trái phép, sau đó CertiK đã xác định vectơ tấn công cụ thể cho phép kẻ khai thác đăng ký làm người ký đáng tin cậy và rút tiền.
Các tài sản bị đánh cắp bao gồm khoảng 1.291 Wrapped Ether (WETH), 1,26 triệu USDC, 206.282 USDT và 16,93 Wrapped Bitcoin (WBTC), theo dữ liệu từ Blockaid. TrustedVolumes đã xác nhận tổng số lỗ và công bố ba địa chỉ ví giữ tiền, chứa lần lượt khoảng 3 triệu USD, 3 triệu USD và 700.000 USD. Công ty cho biết trên X rằng họ "sẵn sàng giao tiếp mang tính xây dựng về tiền thưởng lỗi và một giải pháp được cả hai bên chấp nhận."
Công cụ tổng hợp tài chính phi tập trung 1inch đã nhanh chóng tách mình khỏi sự cố, nhấn mạnh rằng giao thức cốt lõi và tiền của người dùng của họ không bị xâm phạm. TrustedVolumes vận hành các hợp đồng độc lập của riêng mình, và mặc dù nó phục vụ như một trong nhiều nguồn thanh khoản cho 1inch, vụ khai thác đã được ngăn chặn trong các hệ thống của chính nó. "Chúng tôi có thể xác nhận rằng cả 1inch và bất kỳ giao thức 1inch nào đều không liên quan," nền tảng đã đăng trên X, đồng thời bổ sung rằng cách đóng khung của một số báo cáo là "gây nhầm lẫn và có hại."
Vectơ tấn công và các hệ lụy
Lỗ hổng này cho phép kẻ tấn công giành được các quyền được ủy quyền bằng cách gọi một hàm công khai, một lỗi mà các chuyên gia bảo mật cho rằng có thể dẫn đến tổn thất lớn hơn nữa. "Với việc bảo vệ chống phát lại không hoạt động, kẻ tấn công có thể đã rút cạn thêm các tài khoản đã được phê duyệt khác một cách lặp đi lặp lại," Unal của Cyvers lưu ý. Sự cố làm nổi bật những thách thức bảo mật dai dẳng mà các giao thức DeFi dựa trên các tương tác hợp đồng thông minh phức tạp phải đối mặt.
Các công ty phân tích blockchain được cho là đã liên kết kẻ khai thác với một sự cố trước đó liên quan đến 1inch Fusion vào tháng 3 năm 2025, cho thấy một tác nhân dai dẳng đang nhắm mục tiêu vào các lỗ hổng trong hệ sinh thái DeFi. Về phần mình, 1inch tuyên bố họ đang làm việc với các đối tác bảo mật để phân tích vụ khai thác và đưa các phát hiện vào các quy trình bảo mật và tích hợp đang diễn ra của mình.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
