$24M Phishing Heist: Cách Hacker Biến Phê duyệt Token Thành Máy Rút Tiền

Nhớ khi việc “chấp thuận một giao dịch” chỉ là chuyện nhỏ? Tháng Ba này, một cảnh báo về an ninh blockchain đã chứng minh điều ngược lại.

Vào tháng 9 năm 2023, một cá mập crypto đã mất $24 triệu đô la qua một cuộc tấn công lừa đảo (phishing) nhắm vào dịch vụ staking của Rocket Pool. Cuộc tấn công diễn ra rất suôn sẻ: hacker đã lừa nạn nhân ký một giao dịch “Tăng giới hạn cho phép”—cơ bản là trao quyền kiểm soát kho token của họ. Thiệt hại? 9.579 stETH + 4.851 rETH biến mất trong hai giai đoạn.

Chuyển sang ngày 21 tháng 3: CertiK phát hiện hacker đã chuyển 3.700 ETH (gần 10 triệu đô la) đến Tornado Cash, một dịch vụ trộn tiền nhằm làm mù dấu vết dòng tiền. Đến lúc đó, phân tích của PeckShield cho thấy số tài sản bị đánh cắp đã được hợp nhất thành 13.785 ETH + 1,64 triệu DAI, một phần đã được chuyển qua FixedFloat và phân tán qua nhiều ví khác nhau.

Tại sao điều này quan trọng (Và tại sao bạn nên quan tâm)

Đây không phải là một lỗ hổng hợp đồng thông minh phức tạp—đây là lạm dụng quyền token, một trong những điểm yếu bị bỏ qua nhiều nhất trong crypto. Báo cáo Scam Sniffer mô tả bức tranh ảm đạm: $47 triệu đô la bị mất do phishing chỉ trong tháng 2, trong đó 78% liên quan đến Ethereum và token ERC-20 chiếm 86% tổng số vụ trộm cắp.

Điều đáng sợ nhất? Không chỉ những người chơi lớn bị thiệt hại. Vào ngày 20 tháng 3, người dùng Dolomite phát hiện ra một hợp đồng cũ mà họ đã từng chấp thuận đang bị lợi dụng để rút tiền khỏi ví. Sàn giao dịch đã phải phát đi thông báo thu hồi khẩn cấp.

Điều gì đã xảy ra (Và điều gì có thể xảy ra tích cực)

Chấp thuận token là một điều cần thiết trong DeFi—cho phép các giao thức thực hiện giao dịch thay cho bạn. Nhưng đây là cái bẫy: sau khi bạn chấp thuận, bạn tin tưởng hợp đồng đó mãi mãi cho đến khi tự tay thu hồi. Hacker lợi dụng điều này bằng cách:

1. Lừa bạn chấp thuận hợp đồng độc hại qua phishing
2. Rút tiền khỏi ví của bạn một cách có hệ thống theo thời gian
3. Trộn tiền qua các dịch vụ như Tornado Cash để che giấu dấu vết

Tuy nhiên, không phải câu chuyện nào cũng kết thúc bằng mất mát. Layerswap cho thấy phản ứng nhanh có thể giảm thiểu thiệt hại—họ đã chặn một vụ “cướp” khi trang web của họ bị xâm phạm, rồi bồi thường cho người dùng.

Thực tế cần biết

Không gian an ninh crypto đang trong cuộc chạy đua vũ trang. Mỗi cuộc tấn công phishing lại mở ra những lỗ hổng mới, và mỗi lỗ hổng khai thác lại dạy hacker những chiêu thức mới. Sự khác biệt giữa mất mát và thảm họa thường nằm ở việc bạn đã thu hồi quyền chấp thuận token cũ hay chưa.

Những sự cố tháng 3 này không phải là ngoại lệ—chúng là những cảnh báo. Khi DeFi ngày càng tinh vi hơn, các cuộc tấn công cũng vậy.