Một sự phê duyệt token Ethereum cũ đã bị khai thác, cho phép kẻ tấn công rút sạch 13,3 triệu đô la khỏi ví trong vòng vài giây sau khi nhận tiền.
Một ví Ethereum đã mất khoảng 13,3 triệu đô la trong vòng vài giây sau khi một sự phê duyệt token đã quên từ lâu được kích hoạt.
Số tiền đến qua một giao dịch trừu tượng hóa tài khoản, và kẻ tấn công đã hành động ngay lập tức. Dữ liệu blockchain cho thấy ví đã vô tình cấp quyền chi tiêu từ vài tuần trước đó.
Khi khoản tiền đến, sự phê duyệt cho phép truy cập toàn bộ mà không cần xác nhận thêm. Sự cố này cho thấy cách các quyền hạn không hoạt động có thể vẫn còn hiệu lực và bị sử dụng mà không cảnh báo.
Ví Nhận Tiền và Bị Rút Nhanh Chóng
Ví nạn nhân, được xác định là 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, đã nhận khoảng 13,3 triệu đô la trong một giao dịch duy nhất.
Kẻ tấn công đã thực hiện chuyển khoản bằng cách sử dụng cơ chế trừu tượng hóa tài khoản nhằm đơn giản hóa hoạt động của ví.
Hơn nữa, các ghi chép blockchain cho thấy số tiền đến và bị kẻ tấn công rút ra trong vòng vài giây. Do đó, thời gian nhanh chóng này không còn cơ hội cho can thiệp thủ công hoặc hành động phòng vệ.
Tốc độ rút tiền cho thấy kẻ tấn công không cần quyền mới. Thay vào đó, hắn đã có quyền truy cập trước khi chuyển khoản xảy ra.
Ngoài ra, các công cụ theo dõi an ninh xác nhận rằng không có giao dịch phê duyệt mới nào diễn ra trong sự cố này. Điều này loại trừ các cuộc tấn công lừa đảo qua email hoặc dựa trên chữ ký phổ biến.
Các nhà điều tra sau đó đã xem xét hoạt động onchain lịch sử liên quan đến ví. Họ tập trung vào các lần phê duyệt token cũ hơn chưa từng bị thu hồi.
Phân tích này đã phát hiện ra một lần phê duyệt trước đó vẫn cho phép chi tiêu của bên thứ ba. Quyền hạn không hoạt động đó trở thành điểm mở cho lỗ hổng.
Phê duyệt cũ đã kích hoạt khai thác
Các nhà điều tra truy nguyên nguyên nhân gốc rễ đến một giao dịch phê duyệt thực hiện vào ngày 1 tháng 1 năm 2026. Giao dịch này cấp quyền chi tiêu cho địa chỉ 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
Vào thời điểm đó, quyền này không gây lo ngại công cộng. Quyền vẫn còn hiệu lực và chưa bị thu hồi.
Một phê duyệt cũ vừa mất 13,3 triệu đô la.
Địa chỉ nạn nhân 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD nhận khoảng 13,3 triệu đô la qua một giao dịch trừu tượng hóa tài khoản và bị rút trong vòng vài giây.
Nguyên nhân gốc rễ bắt nguồn từ một cuộc gọi approve() thực hiện vào ngày 1 tháng 1 năm 2026, cấp quyền chi tiêu… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 tháng 1, 2026
Địa chỉ kẻ tấn công, 0x6cAad74121bF602e71386505A4687f310e0D833e, sau đó đã sử dụng quyền phê duyệt này.
Nó cho phép truy cập toàn bộ số tiền đến. Khi số tiền đến, kẻ tấn công đã thực hiện các chuyển khoản mà không chậm trễ. Kẻ tấn công đã rút toàn bộ số dư trong một hành động phối hợp.
Chuyển Động Tài Chính Sau Khi Rút Tiền
Sau khi rút tiền, kẻ tấn công đã đổi các tài sản bị đánh cắp từ token sang WETH rồi sang ETH. Các bước này giúp giảm khả năng theo dõi ở cấp độ token.
Sau đó, kẻ tấn công đã chuyển tiền qua nhiều ví khác nhau. Các giao dịch diễn ra nhanh chóng và phân tán qua nhiều địa chỉ.
Phương pháp này tạo ra một mô hình giao dịch phức tạp. Kẻ tấn công thường sử dụng các mô hình như vậy để làm chậm quá trình truy vết.
Phân tích blockchain cho thấy một phần ETH vẫn còn trên chuỗi. Các khoản tiền này nằm trong các địa chỉ vẫn liên kết với kẻ tấn công.
Đọc thêm: Mất mát 25 triệu đô la: Machi bị thanh lý 1.000 ETH sau khi thị trường giảm
Quan Sát Trên Chuỗi Liên Tục
Các nhà quan sát an ninh tiếp tục theo dõi các ví liên kết với kẻ tấn công. Tuy nhiên, các nhà điều tra không phát hiện dịch vụ trộn nào trong các chuyển động ban đầu.
Sự có mặt của các khoản tiền trên chuỗi vẫn còn khả năng truy vết. Các nhà phân tích dựa vào thời gian giao dịch và liên kết địa chỉ.
Sự cố này cho thấy các phê duyệt cũ có thể vẫn còn hiệu lực. Chủ ví thường quên các quyền này theo thời gian. Sự kiện này góp phần vào các trường hợp gần đây liên quan đến các quyền hạn cũ. Nó nhấn mạnh tầm quan trọng của việc kiểm tra quyền hạn định kỳ.
Theo dữ liệu mới nhất, chưa có giao dịch khôi phục nào diễn ra. Các khoản tiền bị đánh cắp vẫn nằm trong quyền kiểm soát của kẻ tấn công.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Các chủ nợ Triều Tiên giành lệnh cấm trên 30.766 ETH của Arbitrum vào ngày 1 tháng 5
Theo The Block, vào ngày 1 tháng 5, các luật sư đại diện cho các chủ nợ liên quan đến khủng bố của Triều Tiên đã tống đạt thông báo cấm tạm thời cho Arbitrum DAO, ngăn việc giải phóng 30.766 ETH (~71,1 triệu USD) mà Hội đồng Bảo mật Arbitrum đã phong tỏa vào ngày 20 tháng 4 sau vụ khai thác lỗ hổng Kelp DAO. Thông báo nêu tên Arbitrum DAO
GateNews52phút trước
Các nhà phát triển Ethereum đặt mục tiêu nâng cấp Glamsterdam, lên kế hoạch tăng công suất gas lên 200M
Theo Quỹ Ethereum, hơn 100 nhà phát triển cốt lõi đã tụ họp vào cuối tháng 4 năm 2026 để thiết lập các mục tiêu kỹ thuật cho bản nâng cấp Glamsterdam. Mục tiêu đáng chú ý nhất là tăng mức công suất gas tối thiểu lên 200 triệu, từ đó mở rộng đáng kể năng lực xử lý giao dịch trên mạng.
GateNews1giờ trước
Quỹ Ethereum Mở Rộng Các Đối Tác Tổ Chức Tại Hàn Quốc
Nhóm doanh nghiệp của Quỹ Ethereum đã đến Hàn Quốc từ ngày 23 tháng 4 đến ngày 1 tháng 5 để mở rộng quan hệ đối tác thể chế với các tổ chức tài chính lớn của Hàn Quốc, theo một cuộc phỏng vấn với Mo Jalil và Tiena Sekharan, những người phụ trách doanh nghiệp APAC của nhóm, được thực hiện vào ngày 24 tháng 4. Trong thời gian của họ
CryptoFrontier1giờ trước
Các chủ nợ tài trợ khủng bố tìm cách tịch thu ETH của Kelp DAO trước cuộc bỏ phiếu trên Arbitrum
# Các chủ nợ vì khủng bố tìm cách tịch thu ETH của Kelp DAO trước lá phiếu trên Arbitrum
Tòa án liên bang ở New York đã làm phức tạp kế hoạch của Arbitrum DAO nhằm bồi thường cho các nạn nhân của vụ khai thác Kelp DAO trị giá 292 triệu USD hồi tháng trước. Vào ngày 1 tháng 5, luật sư của các chủ nợ liên quan đến khủng bố đã gửi cho Arbitrum DAO một thông báo lệnh cấm, ngăn cản việc
CryptoFrontier4giờ trước
Quỹ Ethereum bán 10.000 ETH cho Bitmine với giá 23 triệu USD, doanh số bán lũy kế đạt $47M trong một tuần
Theo The Block, Quỹ Ethereum đã bán 10.000 ETH trị giá khoảng 23 triệu USD cho Bitmine Immersion Technologies của Tom Lee vào thứ Sáu, với giá bán trung bình là 2.292,15 USD cho mỗi ETH. Giao dịch này đánh dấu lần bán lớn thứ hai của Bitmine trong vòng một tuần, nâng tổng doanh số bán ETH lên một
GateNews5giờ trước
Ethereum Liquidation Cascade: $673M Long Liquidations dưới $2.206, $569M Short Liquidations trên $2.431
Theo dữ liệu của Coinglass, nếu Ethereum giảm xuống dưới 2.206 USD, các khoản thanh lý mua tích lũy trên các sàn giao dịch tập trung lớn sẽ đạt 673 triệu USD. Ngược lại, nếu ETH vượt lên 2.431 USD, các khoản thanh lý bán tích lũy sẽ đạt 569 triệu USD.
GateNews5giờ trước
