Khi Hợp Đồng Thông Minh trở thành vũ khí: $10 Triệu bị rò rỉ qua vi phạm lừa đảo phishing

Thế giới tiền điện tử đã đối mặt với một lời cảnh tỉnh khác vào tháng 3 khi nhà kiểm toán bảo mật CertiK phát hiện $10 triệu ETH đang chuyển vào Tornado Cash—một dịch vụ trộn tiền điện tử nổi tiếng về việc rửa tiền các tài sản bị đánh cắp. Đây không phải là một vụ hack ví đơn giản. Kẻ tấn công đã thành công trong việc lợi dụng một chức năng hợp đồng thông minh tưởng chừng vô hại để rút sạch quỹ từ một nhà đầu tư không nghi ngờ.

Cách Phê duyệt Token Biến Thành Cạm Bẫy

Điều nguy hiểm nằm ở chỗ: nạn nhân vô tình ủy quyền một giao dịch “Tăng giới hạn” (Increase Allowance). Chức năng này, được xây dựng trong tiêu chuẩn token ERC-20, ban đầu nhằm mục đích tiện lợi—cho phép hợp đồng thông minh chi tiêu token của bạn với sự cho phép của bạn. Nhưng trong trường hợp này, kẻ tấn công đã khai thác nó một cách xuất sắc. Thay vì trực tiếp lấy cắp quỹ, chúng đã có khả năng phê duyệt và chuyển nhượng tài sản theo ý muốn. Nó giống như đưa cho ai đó một séc trắng và hy vọng họ không điền vào đó.

Nền tảng phát hiện gian lận blockchain Scam Sniffer đã xác định chính xác cơ chế này đang hoạt động. Kẻ tấn công đã chuyển đổi các tài sản bị đánh cắp thành 13.785 ETH ( trị giá khoảng 40,6 triệu USD theo giá hiện tại khoảng 2.950 USD mỗi token) và 1,64 triệu DAI, sau đó cẩn thận phân phối một phần qua các sàn giao dịch để che giấu dấu vết.

Các Con Số Kể Một Câu Chuyện Đáng Báo Động

Sự cố này liên quan đến một chiến dịch lừa đảo qua email (phishing) lớn hơn vào tháng 9 năm 2023 nhắm vào một cá mập tiền điện tử. Nạn nhân đã mất $24 triệu ETH trong quá trình staking ETH qua dịch vụ thanh khoản Rocket Pool trong cuộc tấn công ban đầu đó. Sự khai thác diễn ra theo hai đợt: đầu tiên lấy đi 9.579 stETH, sau đó rút sạch 4.851 rETH từ cùng một tài khoản.

Nhưng sự cố tháng 9 chỉ là một trong nhiều vụ. Dữ liệu gần đây cho thấy riêng tháng 2 đã có gần $47 triệu USD biến mất qua các vụ lừa đảo liên quan đến phishing—với 78% các vụ trộm này xảy ra trên Ethereum và 86% số quỹ bị đánh cắp nằm trong các token ERC-20. Mô hình rõ ràng: phê duyệt token đã trở thành con đường yêu thích của kẻ tấn công để xâm nhập.

Khi Các Hợp Đồng Cũ Trở Thành Đường Tấn Công

Tháng 3 mang lại nhiều rắc rối hơn. Một hợp đồng thông minh cũ từng được Dolomite sử dụng đã bị xâm phạm, rút sạch 1,8 triệu USD từ những người dùng đã từng cấp quyền cho nó. Đội ngũ Dolomite đã nhanh chóng phát hành cảnh báo thu hồi khẩn cấp, kêu gọi người dùng rút quyền từ địa chỉ hợp đồng dễ bị tấn công này.

Sự cố của Layerswap đã hé lộ một lớp lỗ hổng khác. Khi trang web của họ bị xâm phạm qua phishing, khoảng 50 người dùng đã mất tài sản trị giá 100.000 USD trước khi đội ngũ và nhà cung cấp tên miền kịp thời kiểm soát sự cố. Trong khi Layerswap cam kết hoàn trả đầy đủ cộng thêm bồi thường, thiệt hại đã xảy ra.

Bức Tranh Lớn Hơn: Giáo Dục Gặp Gỡ Công Nghệ

Đây không phải là những sự cố riêng lẻ—chúng là những triệu chứng của một vấn đề hệ thống. Phê duyệt token đã giúp mở rộng quyền truy cập vào chức năng blockchain nhưng cũng tạo ra một điểm mù nguy hiểm. Người dùng thường phê duyệt hợp đồng mà không hiểu rõ những quyền hạn mà họ đang cấp phát. Khoảng cách về trình độ kỹ thuật giữa người dùng trung bình và kẻ tấn công ngày càng mở rộng.

Các công ty an ninh như CertiK và PeckShield đang chơi phòng thủ, phân tích các giao dịch blockchain và cảnh báo các hoạt động đáng ngờ. Nhưng việc phát hiện sau khi xảy ra không ngăn chặn được thiệt hại. Điều cần thiết là thay đổi cách người dùng tương tác với hợp đồng thông minh: xác minh từng lần phê duyệt, hiểu rõ từng quyền hạn và duy trì cảnh giác trong mọi tương tác ví.

Cộng đồng tiền điện tử cần đầu tư vào các công cụ tốt hơn, giao diện UI/UX rõ ràng hơn cho quy trình phê duyệt, và các chiến dịch giáo dục liên tục. Cho đến khi khoảng cách giữa thực tế kỹ thuật và hiểu biết của người dùng được thu hẹp, các cuộc tấn công phishing khai thác phê duyệt token sẽ vẫn là một trong những mối đe dọa dai dẳng nhất của ngành.