IPOR Labs mất 336.000 USD do bị tấn công khai thác lỗi hợp đồng thông minh và EIP-7702

Một vụ tấn công mạng nhắm vào nền tảng tài chính phi tập trung IPOR Labs đã gây thiệt hại khoảng 336.000 USD (~4,8 tỷ đồng) từ một “kho tiền tối ưu hóa lãi suất” hoạt động trên mạng mở rộng Ethereum Arbitrum. Cuộc tấn công khai thác điểm yếu bảo mật của hợp đồng thông minh cũ kết hợp với tính năng ủy quyền mới được cập nhật từ Ethereum, cho thấy rủi ro an ninh vẫn là thách thức lớn đối với các nền tảng DeFi.

Theo báo cáo từ Hexagate và Blockaid ngày 6 (giờ địa phương), các tổ chức an ninh mạng đã phát hiện giao dịch bất thường trên một “kho tiền” của IPOR Labs. Qua điều tra, IPOR xác nhận sự cố bắt nguồn từ một cuộc tấn công sử dụng “cấu hình fuse” để thoát tiền trái phép. Số tài sản bị đánh cắp sau đó đã được chuyển từ Arbitrum về Ethereum, rồi gửi tới Tornado Cash – một dịch vụ trộn tiền mã hóa có tiếng gây tranh cãi. Công ty bảo mật CertiK cho biết đã truy vết dòng tiền này và xác nhận khoảng 336.000 USD đã được “mix” thành công.

Bình luận: Vụ việc một lần nữa cho thấy tính dễ tổn thương của các nền tảng DeFi khi triển khai tính năng mới mà chưa có cơ chế bảo vệ đầy đủ. Từ khóa chính như “fuse” hay “EIP-7702” cần được xử lý nghiêm ngặt trong các bản cập nhật hệ thống.

Tấn công kết hợp giữa lỗi cũ và chuẩn EIP-7702 mới

Theo phân tích kỹ thuật, cuộc tấn công chỉ xảy ra khi hai yếu tố cùng lúc được đáp ứng. Đầu tiên, “kho tiền” mục tiêu được vận hành suốt hơn 490 ngày, dựa trên phiên bản hợp đồng thông minh đầu tiên của IPOR – vốn thiếu biện pháp xác thực tính hợp lệ của cấu hình fuse. Điều này giúp kẻ tấn công chiếm quyền quản trị và chèn fuse độc hại vào hệ thống.

Điểm mấu chốt thứ hai là việc tích hợp chuẩn EIP-7702 từ nâng cấp Ethereum Pectra. Tính năng này cho phép thực hiện “ủy quyền tuỳ ý” tới những hợp đồng có quyền gọi hàm trên hệ thống – bao gồm cả lệnh rút tiền. Kẻ tấn công đã sử dụng hợp đồng ủy quyền nguy hiểm để tự động yêu cầu rút tiền và gửi vào ví riêng của mình, mà không bị hệ thống phát hiện kịp thời.

IPOR Labs cho biết sự cố diễn ra đúng lúc chức năng “rút tiền tạm thời” được kích hoạt. Do đó, các cơ chế phát hiện tự động trước đó đã không thể ngăn chặn hành vi trái phép này.

IPOR cam kết hoàn tiền và khẳng định hệ thống mới an toàn

Phía IPOR khẳng định các “kho tiền” được triển khai sau này đều đã tích hợp hệ thống xác thực fuse và không thể bị khai thác theo cách tương tự. Đáng lưu ý, chỉ có hai “kho tiền” ứng dụng hợp đồng ủy quyền EIP-7702, trong đó một đã cập nhật bảo mật, còn “kho tiền cũ” là điểm yếu duy nhất còn tồn tại.

Nhằm khôi phục lòng tin từ cộng đồng, IPOR DAO sẽ dùng quỹ dự trữ để hoàn trả đầy đủ số tiền thiệt hại cho người dùng – tương ứng 336.000 USD, chiếm chưa đến 1% tổng tài sản của nền tảng. Hiện tổ chức đang phối hợp với công ty bảo mật SEAL, các sàn giao dịch và nền tảng phân tích blockchain để theo dõi dòng tiền cũng như hỗ trợ truy thu tài sản bị đánh cắp.

Tình hình tấn công mạng tiền mã hóa: giảm rồi lại tăng

Theo dữ liệu từ công ty bảo mật PeckShield, trong tháng 12 năm 2025, tổng giá trị tài sản mã hóa bị hack chỉ ở mức 76 triệu USD (~1.100 tỷ đồng), giảm 60% so với tháng 11. Tuy nhiên, bước sang đầu năm 2026, các vụ tấn công mạng đã bùng phát trở lại với mức độ tinh vi hơn, từ đột nhập ví đa chữ ký đến tấn công chuỗi cung ứng phần mềm.

Tiêu biểu là vụ tấn công vào Trust Wallet trong dịp Giáng Sinh. Tin tặc chèn mã độc vào gói npm, đánh cắp dữ liệu ví của các nhà phát triển, khiến hơn 2.500 ví bị rút sạch tài sản – bao gồm khoảng 7 triệu USD Bitcoin(BTC), Ethereum(ETH), và Solana(SOL).

Bình luận: Những diễn biến gần đây cho thấy an ninh mạng trong lĩnh vực tiền mã hóa đang dịch chuyển khỏi lỗi mã hoá, thay vào đó là tập trung vào điểm yếu vận hành và yếu tố con người.

Theo Mitchell Amador – Giám đốc điều hành Immunefi, “Các chiêu thức tấn công ngày càng nhắm vào quy trình quản lý và thói quen người dùng, hơn là chính đoạn mã lập trình”.

Kết luận: Bài học từ vụ IPOR Labs

Vụ việc tại IPOR là hồi chuông cảnh tỉnh cho toàn ngành DeFi trước rủi ro đến từ việc làm mới hệ thống hợp đồng thông minh mà không kiểm tra đủ chặt. Đặc biệt, việc tích hợp những chuẩn Ethereum mới như “EIP-7702” cần đi kèm cơ chế xác thực & giới hạn quyền kiểm soát một cách hợp lý.

Vì vậy, khi tham gia sử dụng các nền tảng tài chính phi tập trung, người dùng cần đặc biệt cẩn trọng trước khi cấp quyền truy cập hợp đồng, kiểm tra kỹ nội dung ủy quyền và đảm bảo chỉ cho phép các quyền cần thiết. Ngoài ra, các nhà phát triển nên thường xuyên kiểm tra lại mã nguồn, tiến hành kiểm toán độc lập và bổ sung thêm lớp bảo mật cho những chức năng có ảnh hưởng đến nguồn tiền.

Từ khóa: “IPOR Labs”, “EIP-7702”, “hợp đồng thông minh”, “DeFi”, “Tornado Cash”, “Arbitrum”