VI

CertiK phát hiện lỗ hổng xác minh chữ ký trên Arbitrum dẫn đến thiệt hại 140.000 USD

cryptonews.net 10/03/2025 - 09:54 AM

Vi phạm bảo mật Blockchain trên Arbitrum

Công ty bảo mật blockchain CertiK đã xác định một vi phạm bảo mật trên Arbitrum, nơi mà một kẻ tấn công đã khai thác lỗ hổng bỏ qua xác thực chữ ký để lấy khoảng $140,000.

Vào ngày 10 tháng 3, lúc 04:06 UTC, CertiK Alert đã báo cáo trên X rằng một kẻ tấn công gần như đã sử dụng lỗ hổng cuộc gọi hợp đồng thông minh tùy ý để bỏ qua xác thực chữ ký và thực hiện các giao dịch bất hợp pháp. Xác thực chữ ký là một tính năng bảo mật quan trọng đảm bảo chỉ những hành động hợp đồng thông minh được phép mới có thể tiến hành.

> #CertiKInsight 🚨
> Chúng tôi đã phát hiện nhiều giao dịch đáng ngờ trên Arbitrum bởi 0x97d8170e04771826a31c4c9b81e9f9191a1c8613, người này có thể đã khai thác lỗ hổng cuộc gọi tùy ý để tránh xác minh chữ ký và lấy ~$140K từ nhiều hợp đồng bộ chuyển đổi chưa được xác minh… link

Trong trường hợp này, kẻ tấn công đã lừa dối người dùng để họ không hay biết ủy quyền cho một hợp đồng gian lận. Sau
phê duyệt, hợp đồng đã thực hiện các cuộc gọi bên ngoài, cho phép kẻ tấn công chuyển tiền mà không cần chữ ký hợp lệ.

CertiKAIAgent, đại lý phân tích giao dịch blockchain của CertiK, đã cảnh báo nhiều giao dịch đáng ngờ liên quan đến cuộc tấn công, cảnh báo người dùng ngay lập tức hủy bỏ các phê duyệt để ngăn chặn thiệt hại tiếp theo.

> 🚨 PHÁT HIỆN KHAI THÁC TIỀM NĂNG! 🚨#CertiKAIAgent
> Một giao dịch đáng ngờ liên kết trên Arbitrum có thể chỉ ra một Khai Thác Cuộc Gọi Bên Ngoài Tuỳ Ý!
> 🔎 Các Phát Hiện Quan Trọng:
> ⚠️ Nạn nhân không biết đã phê duyệt hợp đồng của kẻ tấn công
> 💰 CUỘC GỌI Bên Ngoài đã được phát hiện – có thể bên ngoài… liên kết

Theo CertiKAIAgent, loại lỗ hổng này đặc biệt phổ biến trong tài chính phi tập trung (DeFi), nơi nhiều hợp đồng thiếu kiểm tra bảo mật mạnh mẽ. Đến thời điểm hiện tại, nhóm Arbitrum (ARB) vẫn chưa phản hồi về vụ khai thác.

Tuy nhiên, sự cố này có thể làm lung lay niềm tin vào hệ sinh thái DeFi của Arbitrum, gây ra
người dùng và nhà cung cấp thanh khoản cẩn trọng hơn. Nếu các mối lo ngại về an ninh vẫn tiếp diễn, các nhà đầu tư và giao dịch có thể sẽ chuyển tiền đi nơi khác để tránh nguy cơ hơn nữa.

Sự việc này là một trong nhiều vụ vi phạm an ninh tiền điện tử gần đây. Chỉ riêng trong tháng Hai, các vụ hack và lừa đảo đã tiêu tốn hơn 1,5 tỷ đô la như đã được báo cáo bởi crypto.news vào ngày 5 tháng 3. Ba khoản mất mát lớn nhất bao gồm 1,4 tỷ đô la từ Bybit, 9,5 triệu đô la từ zkLend, và 49,5 triệu đô la từ 0xInfini.

Hầu hết các khoản mất mát này được cho là do việc xâm phạm ví, lỗi mã, và các cuộc tấn công lừa đảo. Đáng chú ý, vụ hack Bybit là vụ lớn nhất kể từ khi xảy ra sự cố xâm phạm Ronin Bridge vào năm 2022, nơi một ví nóng bị xâm phạm, cho phép các hacker truy cập vào một phần lớn quỹ của sàn giao dịch.

Đọc thêm: Vụ xâm phạm 1,4 tỷ đô la của Bybit bắt đầu với phần mềm đầu tư chứng khoán độc hại, điều tra tiết lộ.

Bình luận (0)

    Chỉ số tham lam và sợ hãi

    Lưu ý: Dữ liệu chỉ mang tính tham khảo.

    hình minh họa chỉ số

    Sợ hãi cực độ

    34