UXLINK bị hack hơn 1.570 tỷ đồng do lỗ hổng ví đa chữ ký

UXLINK bị tấn công, thiệt hại hơn 1.570 tỷ đồng do lỗ hổng ví đa chữ ký

Sự cố tấn công gần đây nhằm vào UXLINK đã khiến dự án này tổn thất khoảng 1.570 tỷ đồng, trở thành một trong những sự kiện an ninh mạng nghiêm trọng nhất trong lĩnh vực tiền mã hóa thời gian qua. Theo phân tích sơ bộ, kẻ tấn công đã khai thác điểm yếu của ví đa chữ ký (Multi-sig), từ đó chiếm quyền kiểm soát và đánh cắp tài sản chỉ bằng một lần gọi hàm “delegateCall”.

Theo thông tin từ Cyvers – nền tảng giám sát an ninh blockchain – vụ việc được phát hiện đầu tiên nhờ vào cảnh báo giao dịch rủi ro. Tổng số tài sản bị đánh cắp bao gồm khoảng 4 triệu đô la Tether(USDT) (tương đương 556 tỷ đồng), 500.000 đô la USD Coin(USDC) (khoảng 69,5 tỷ đồng), 3,7 Wrapped Bitcoin(WBTC), và 25 Ethereum(ETH). Sau khi đánh cắp, số tài sản này nhanh chóng được rửa sạch thông qua quy trình chuyển đổi phức tạp với các bước đổi sang Dai(DAI), Ethereum(ETH), sau đó tiếp tục được đưa vào mạng lưới Arbitrum nhằm che giấu dấu vết.

Không dừng lại ở đó, kẻ tấn công còn nhận thêm khoảng 3 triệu đô la (khoảng 417 tỷ đồng) giá trị token UXLINK từ một ví khác, phần lớn trong số này đã được phát hiện phát hành mới và bơm vào thị trường. Kết quả điều tra sơ bộ cho thấy UXLINK đã xác nhận tồn tại lỗ hổng trong cách vận hành ví đa chữ ký. Đội ngũ phát triển đã phối hợp với các chuyên gia an ninh và cơ quan pháp lý để xử lý vụ việc, đồng thời kêu gọi các sàn giao dịch phong tỏa các tài khoản liên quan.

Tuy nhiên, mọi nỗ lực phản ứng đã không thể ngăn cản hacker tiếp tục hành vi lạm dụng. Theo dữ liệu từ PeckShield, hacker đã phát hành lượng lớn token UXLINK giả trên mạng Arbitrum, ước tính từ 1 đến 2 tỷ token. Trong số đó, khoảng 490 triệu token đã được đưa lên cả sàn giao dịch tập trung (CEX) lẫn phi tập trung (DEX) để bán ra thị trường. Diễn biến này khiến giá của UXLINK lao dốc mạnh, từ 0,30 đô la xuống chỉ còn 0,09 đô la, tương đương mức sụt giảm hơn 70%. Tính theo vốn hóa thị trường, dự án đã mất khoảng 977 tỷ đồng giá trị.

Một thông tin đáng chú ý khác là sàn giao dịch Upbit đã phong tỏa kịp thời khoảng 5-7 triệu đô la (tương đương 69,5-97,3 tỷ đồng) giá trị tài sản bị nghi ngờ liên quan đến vụ hack. Tuy vậy, dữ liệu on-chain cho thấy hacker vẫn còn nắm giữ khoảng 6.732 ETH – tương đương 391 tỷ đồng – tại địa chỉ ví riêng.

Trớ trêu thay, kẻ đứng sau vụ tấn công UXLINK sau đó lại trở thành nạn nhân của nhóm lừa đảo “Inferno Drainer”, khiến gần 542 triệu token UXLINK bị đánh cắp ngược lại.

Trước tình hình nghiêm trọng này, đội ngũ UXLINK đã công bố kế hoạch “từ khóa” nhằm khôi phục hệ sinh thái token và đền bù thiệt hại cho người dùng. Chi tiết của kế hoạch sẽ được cập nhật qua các kênh chính thức.

“từ khóa” lần này không chỉ là lời cảnh báo về rủi ro vận hành hợp đồng thông minh, mà còn là hồi chuông cảnh tỉnh về tầm quan trọng của “từ khóa” trong toàn bộ hệ sinh thái Web3.

“bình luận”: Sự kiện này một lần nữa khẳng định rằng bảo mật ví đa chữ ký hiện vẫn là điểm yếu đáng lo ngại đối với rất nhiều dự án blockchain. Các dự án cần nghiêm túc rà soát cơ chế vận hành ví và đặt yếu tố an toàn lên hàng đầu, đặc biệt khi vận hành các quỹ cộng đồng hoặc ví kho bạc (treasury wallet).