Tin tức 
Thông tin Coin 
Về chúng tôi 
Một vụ tấn công bảo mật nghiêm trọng vừa xảy ra tại sàn giao dịch tài chính phi tập trung (DeFi) Matcha Meta, khiến dự án bị thiệt hại khoảng 16,8 triệu USD — tương đương gần “244 tỷ đồng”. Đáng chú ý, sự cố không phát sinh từ hạ tầng cốt lõi của nền tảng, mà đến từ một nhà cung cấp thanh khoản bên ngoài có tên là SwapNet.
Theo Matcha Meta thông báo trên kênh X chính thức ngày 25 (giờ địa phương), nguyên nhân bắt nguồn từ việc một số người dùng đã tắt chức năng “phê duyệt một lần” (One-Time Approval), và tự tay cấp quyền sử dụng token cho các hợp đồng thông minh riêng lẻ của bên thứ ba. Đây là “lỗ hổng” mở đường cho tin tặc khai thác. Hiện tại, SwapNet đã tạm dừng hoạt động các hợp đồng liên quan để ngăn chặn rủi ro lan rộng.
Vụ việc chỉ diễn ra trong 10 giây, theo công ty bảo mật blockchain PeckShield. Tin tặc đã rút khoảng 10,5 triệu USD trị giá USD Coin (USDC) trên mạng lưới Base, sau đó chuyển thành 3.655 Ethereum(ETH), rồi “cầu nối” (bridge) sang chuỗi Ethereum để tiến hành rửa tiền. Tổng giá trị tổn thất lên đến khoảng 16,8 triệu USD.
Một đơn vị bảo mật khác là CertiK cũng phát hiện một địa chỉ ví liên quan đã rút lượng USDC trị giá hơn 13,3 triệu USD. Cuộc tấn công khai thác điểm yếu được gọi là “quyền gọi tùy ý quá mức” trong hợp đồng của SwapNet — một lỗ hổng cho phép kẻ tấn công sử dụng các quyền phê duyệt trước đó của người dùng để chiếm đoạt tài sản.
Về phần mình, Matcha Meta cho biết hệ thống ủy quyền của hãng vốn được xây dựng dựa trên giao thức 0x, cụ thể là các hợp đồng AllowanceHolder và Settler. Những công cụ này chỉ cho phép cấp quyền một lần với số lượng nhỏ, vốn là thiết kế để giới hạn rủi ro bảo mật. Vì vậy, chỉ những người dùng vô hiệu hóa chức năng gốc và cấp quyền thủ công mới trở thành mục tiêu.
Đại diện dự án nhấn mạnh các tài khoản sử dụng đúng hệ thống phê duyệt gốc của Matcha Meta đã không bị ảnh hưởng, đồng thời cam kết sẽ “xóa bỏ hoàn toàn” tùy chọn cấp quyền tự do cho người dùng trong tương lai.
“Bình luận”: Đây là minh chứng rõ ràng cho thấy ranh giới mong manh giữa sự linh hoạt trong DeFi và an toàn bảo mật. Khi người dùng có toàn quyền kiểm soát tài khoản, các hành động tùy ý đôi khi lại trở thành điểm yếu chí mạng.
Không chỉ riêng Matcha Meta, thời gian qua các vụ hack DeFi liên tiếp xảy ra. Tháng 1, IPOR Labs bị chiếm đoạt hơn 336.000 USD trên Arbitrum, Truebit thất thoát hơn 8.500 ETH, còn chuỗi Layer-1 Saga buộc phải đóng cửa EVM sau vụ mất trắng 7 triệu USD.
Theo báo cáo thường niên từ công ty bảo mật SlowMist, các “lỗ hổng trong hợp đồng thông minh” chiếm tới 30% tổng thiệt hại từ các vụ hack tiền mã hóa trong năm 2025. Sự phát triển nhanh của trí tuệ nhân tạo cũng đang làm gia tăng tốc độ và độ chính xác trong các cuộc tấn công mạng phức tạp.
“Bình luận”: Sự cố của Matcha Meta là lời nhắc quan trọng cho toàn bộ cộng đồng DeFi — rằng việc cấu hình quyền truy cập hợp lý, đặc biệt là lựa chọn phê duyệt token, không chỉ là vấn đề kỹ thuật mà là yếu tố sống còn. Trong một hệ thống phi tập trung, chính người dùng phải là tuyến phòng thủ đầu tiên cho tài sản của mình.
Từ khóa: “Matcha Meta”, “SwapNet”, “hack DeFi”, “Ethereum(ETH)”, “tấn công hợp đồng thông minh”
Bình luận 0