Một sự phê duyệt token Ethereum cũ đã bị khai thác, cho phép kẻ tấn công rút sạch 13,3 triệu đô la khỏi ví trong vòng vài giây sau khi nhận tiền.
Một ví Ethereum đã mất khoảng 13,3 triệu đô la trong vòng vài giây sau khi một sự phê duyệt token đã quên từ lâu được kích hoạt.
Số tiền đến qua một giao dịch trừu tượng hóa tài khoản, và kẻ tấn công đã hành động ngay lập tức. Dữ liệu blockchain cho thấy ví đã vô tình cấp quyền chi tiêu từ vài tuần trước đó.
Khi khoản tiền đến, sự phê duyệt cho phép truy cập toàn bộ mà không cần xác nhận thêm. Sự cố này cho thấy cách các quyền hạn không hoạt động có thể vẫn còn hiệu lực và bị sử dụng mà không cảnh báo.
Ví Nhận Tiền và Bị Rút Nhanh Chóng
Ví nạn nhân, được xác định là 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, đã nhận khoảng 13,3 triệu đô la trong một giao dịch duy nhất.
Kẻ tấn công đã thực hiện chuyển khoản bằng cách sử dụng cơ chế trừu tượng hóa tài khoản nhằm đơn giản hóa hoạt động của ví.
Hơn nữa, các ghi chép blockchain cho thấy số tiền đến và bị kẻ tấn công rút ra trong vòng vài giây. Do đó, thời gian nhanh chóng này không còn cơ hội cho can thiệp thủ công hoặc hành động phòng vệ.
Tốc độ rút tiền cho thấy kẻ tấn công không cần quyền mới. Thay vào đó, hắn đã có quyền truy cập trước khi chuyển khoản xảy ra.
Ngoài ra, các công cụ theo dõi an ninh xác nhận rằng không có giao dịch phê duyệt mới nào diễn ra trong sự cố này. Điều này loại trừ các cuộc tấn công lừa đảo qua email hoặc dựa trên chữ ký phổ biến.
Các nhà điều tra sau đó đã xem xét hoạt động onchain lịch sử liên quan đến ví. Họ tập trung vào các lần phê duyệt token cũ hơn chưa từng bị thu hồi.
Phân tích này đã phát hiện ra một lần phê duyệt trước đó vẫn cho phép chi tiêu của bên thứ ba. Quyền hạn không hoạt động đó trở thành điểm mở cho lỗ hổng.
Phê duyệt cũ đã kích hoạt khai thác
Các nhà điều tra truy nguyên nguyên nhân gốc rễ đến một giao dịch phê duyệt thực hiện vào ngày 1 tháng 1 năm 2026. Giao dịch này cấp quyền chi tiêu cho địa chỉ 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
Vào thời điểm đó, quyền này không gây lo ngại công cộng. Quyền vẫn còn hiệu lực và chưa bị thu hồi.
Một phê duyệt cũ vừa mất 13,3 triệu đô la.
Địa chỉ nạn nhân 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD nhận khoảng 13,3 triệu đô la qua một giao dịch trừu tượng hóa tài khoản và bị rút trong vòng vài giây.
Nguyên nhân gốc rễ bắt nguồn từ một cuộc gọi approve() thực hiện vào ngày 1 tháng 1 năm 2026, cấp quyền chi tiêu… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 tháng 1, 2026
Địa chỉ kẻ tấn công, 0x6cAad74121bF602e71386505A4687f310e0D833e, sau đó đã sử dụng quyền phê duyệt này.
Nó cho phép truy cập toàn bộ số tiền đến. Khi số tiền đến, kẻ tấn công đã thực hiện các chuyển khoản mà không chậm trễ. Kẻ tấn công đã rút toàn bộ số dư trong một hành động phối hợp.
Chuyển Động Tài Chính Sau Khi Rút Tiền
Sau khi rút tiền, kẻ tấn công đã đổi các tài sản bị đánh cắp từ token sang WETH rồi sang ETH. Các bước này giúp giảm khả năng theo dõi ở cấp độ token.
Sau đó, kẻ tấn công đã chuyển tiền qua nhiều ví khác nhau. Các giao dịch diễn ra nhanh chóng và phân tán qua nhiều địa chỉ.
Phương pháp này tạo ra một mô hình giao dịch phức tạp. Kẻ tấn công thường sử dụng các mô hình như vậy để làm chậm quá trình truy vết.
Phân tích blockchain cho thấy một phần ETH vẫn còn trên chuỗi. Các khoản tiền này nằm trong các địa chỉ vẫn liên kết với kẻ tấn công.
Đọc thêm: Mất mát 25 triệu đô la: Machi bị thanh lý 1.000 ETH sau khi thị trường giảm
Quan Sát Trên Chuỗi Liên Tục
Các nhà quan sát an ninh tiếp tục theo dõi các ví liên kết với kẻ tấn công. Tuy nhiên, các nhà điều tra không phát hiện dịch vụ trộn nào trong các chuyển động ban đầu.
Sự có mặt của các khoản tiền trên chuỗi vẫn còn khả năng truy vết. Các nhà phân tích dựa vào thời gian giao dịch và liên kết địa chỉ.
Sự cố này cho thấy các phê duyệt cũ có thể vẫn còn hiệu lực. Chủ ví thường quên các quyền này theo thời gian. Sự kiện này góp phần vào các trường hợp gần đây liên quan đến các quyền hạn cũ. Nó nhấn mạnh tầm quan trọng của việc kiểm tra quyền hạn định kỳ.
Theo dữ liệu mới nhất, chưa có giao dịch khôi phục nào diễn ra. Các khoản tiền bị đánh cắp vẫn nằm trong quyền kiểm soát của kẻ tấn công.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
DeFi United đã huy động đủ cam kết vốn cho ETH, kế hoạch khôi phục rsETH bước vào giai đoạn phê duyệt quản trị
Theo thông báo từ tài khoản X chính thức của Aave vào ngày 28 tháng 4, liên minh hệ sinh thái DeFi United đã công bố kế hoạch triển khai kỹ thuật, nhằm khôi phục khả năng hỗ trợ thế chấp và hoạt động bình thường của thị trường thanh khoản cho KelpDAO rsETH. Theo thông báo, DeFi United đã hoàn tất các cam kết vốn ETH cần thiết, dự kiến sẽ khôi phục rsETH về tỷ lệ quy đổi danh nghĩa thông qua việc bơm vào theo nhiều đợt các hợp đồng khóa đặt cọc được liên kết.
MarketWhisper4phút trước
Cá voi rút ETH trị giá 9,98M USD khỏi sàn giao dịch tập trung
Tin tức từ Gate News: một cá voi đã rút 4.361 ETH trị giá 9,98 triệu USD khỏi một sàn giao dịch tập trung trong vòng 30 phút qua. Hiện tại, cá voi đang nắm giữ 4.383 ETH trị giá $10 million. Địa chỉ liên quan đến giao dịch này là 0xE5eCEX3370f1EEC271C9A0274EDa2Ff37AD2024d4.
GateNews52phút trước
Các ETF Ethereum Giao ngay Ghi nhận Dòng tiền ròng vào 23,38M USD vào ngày 24 tháng 4, BlackRock ETHB dẫn đầu với 32,25M
Tin tức Gate, ngày 28 tháng 4 — Theo dữ liệu của SoSoValue, các ETF Ethereum giao ngay đã ghi nhận dòng tiền ròng vào là 23,38 triệu USD vào ngày 24 tháng 4 (Giờ miền Đông Hoa Kỳ).
ETF ETH được Staked của BlackRock (ETHB) dẫn đầu tất cả các sản phẩm với 32,25 triệu USD dòng tiền ròng vào trong một ngày, đưa tổng dòng tiền ròng tích lũy trong lịch sử của quỹ lên 32,25 triệu
GateNews1giờ trước
ETH bứt phá lên $2,404 sẽ kích hoạt 1,093 tỷ USD thanh lý khống trên các CEX lớn
Tin tức sàn Gate, ngày 28 tháng 4 — Theo dữ liệu của Coinglass, nếu ETH vượt lên trên $2,404, sức mạnh thanh lý khống tích lũy trên các sàn giao dịch tập trung lớn sẽ đạt 1,093 tỷ USD.
Ngược lại, nếu ETH giảm xuống dưới $2,176, sức mạnh thanh lý mua tích lũy trên các CEX lớn sẽ đạt 697
GateNews1giờ trước
Các quỹ ETF giao ngay Bitcoin của Mỹ ghi nhận $263M dòng tiền chảy ra, các quỹ ETF giao ngay Ethereum ghi nhận dòng tiền chảy ra 50.4 triệu USD
Tin tức từ Gate, ngày 28 tháng 4 — Theo Farside Investors, các quỹ ETF giao ngay Bitcoin của Mỹ ghi nhận dòng tiền ròng chảy ra $263 triệu USD vào ngày hôm qua (27 tháng 4).
Fidelity FBTC dẫn đầu với $150 triệu USD dòng tiền chảy ra, tiếp theo là ARK ARKB với $43.3 triệu, Grayscale GBTC với $46.6 triệu,
GateNews1giờ trước
Hoàng Lập Thành 79,16 triệu USD lệnh mua chuyển từ có lời sang lỗ, ETH đang lỗ nổi 486.000 USD
Theo dữ liệu giám sát của nhà phân tích trên chuỗi Ai A di vào ngày 28 tháng 4 năm 2026, nhà giao dịch tiền mã hóa Hoàng Lập Thành (biệt danh “Anh đại ca Maji”) nắm giữ các lệnh mua trị giá 79,16 triệu USD nhìn chung đã chuyển từ lãi sang lỗ; trước đó từng đạt mức lãi nổi hơn 2,70 triệu USD. Trong ba vị thế, vị thế Ethereum ghi nhận khoản lỗ nổi lớn nhất, trong khi vị thế Bitcoin vẫn đang ở trạng thái lãi nổi nhẹ.
MarketWhisper2giờ trước
