Bonk.fun trên Solana(SOL) bị chiếm tên miền, xuất hiện drainer ví nhắm vào nhà đầu tư meme coin

Nền tảng *솔라나* cho *밈코인* **Bonk.fun** vừa ghi nhận một sự cố bảo mật nghiêm trọng khi tên miền chính thức bị chiếm quyền kiểm soát, dẫn đến loạt vụ tấn công **“drainer ví”** nhắm vào tài sản người dùng. Sự cố xảy ra đúng lúc thị trường **meme coin** đang trong nhịp hồi phục ngắn hạn, làm dấy lên lo ngại về rủi ro bảo mật phía *giao diện (front-end)* trong hệ sinh thái **Solana(SOL)** và thị trường **tiền mã hóa** nói chung.

Theo thông báo trên X ngày 11 (giờ địa phương), đội ngũ *Bonk.fun* cho biết “kẻ tấn công độc hại đã xâm nhập tên miền BONKfun” và cảnh báo người dùng “không được tương tác với trang web cho đến khi vấn đề được khắc phục”. Trong giai đoạn trang đã bị chiếm quyền, bất kỳ ai truy cập, kết nối ví và ký các yêu cầu hiện ra trên website đều có nguy cơ bị drainer rút sạch tài sản ngay lập tức.

Khác với các vụ khai thác *smart contract*, sự cố này được phân loại là một cuộc tấn công **chiếm quyền giao diện (front-end hijack)**. Theo người dùng X có biệt danh *SolportTom*, kẻ tấn công đã chiếm được quyền kiểm soát tài khoản quản trị của đội ngũ, từ đó nắm luôn quyền quản lý tên miền và thay thế trang hợp lệ bằng một giao diện độc hại.

Cụ thể, khi người dùng truy cập vào trang *Bonk.fun*, một cửa sổ dạng “đồng ý điều khoản sử dụng” sẽ bật lên. Tuy nhiên, đây không phải là điều khoản dịch vụ thông thường mà là yêu cầu cấp quyền truy cập ví ở mức sâu. Nếu người dùng bấm ký, drainer sẽ được ủy quyền chuyển tài sản ra khỏi ví chỉ trong vài giây.

Đội ngũ *Bonk.fun* cho biết quy mô thiệt hại hiện “ở mức tối thiểu (minimal)”, song con số chính xác vẫn đang được các bên phân tích on-chain xác minh. Nhóm nạn nhân chủ yếu là những người đã tương tác với pop-up giả mạo trong khoảng thời gian tên miền bị chiếm dụng.

Sự việc diễn ra trong bối cảnh **thị trường meme coin** đang phục hồi mạnh. Tổng vốn hóa nhóm *meme coin* đã vượt lại ngưỡng khoảng 32 tỷ USD (tương đương khoảng 47,3 nghìn tỷ đồng), với nhiều mã lớn như **Dogecoin(DOGE)**, **Pepe(PEPE)**, **Shiba Inu(SHIB)** tăng giá trong ngày. Ngược lại, **Bonk(BONK)** lại giảm khoảng 1% trong 24 giờ gần nhất và tính theo khung 1 năm, đồng này đã mất khoảng 45% giá trị.

Song song đó, xu hướng tấn công nhắm vào **giao diện người dùng** thay vì giao thức cốt lõi đang nổi lên trong ngành **tiền mã hóa**. Theo dữ liệu của công ty phân tích on-chain *Chainalysis*, thiệt hại do các vụ lừa đảo tiền mã hóa trong năm 2023 ước tính lên tới khoảng 17 tỷ USD (tức hơn 25 nghìn tỷ đồng), cho thấy mức độ nghiêm trọng của các mối đe dọa từ cả hợp đồng thông minh lẫn hạ tầng web.

Trước đó, giao thức cho vay **AAVE(AAVE)** cũng từng chứng kiến đợt thanh lý lớn do dữ liệu oracle bị lỗi, khiến người dùng chịu tổn thất ngoài dự kiến. *bình luận* Dù cơ chế tấn công khác nhau (oracle, smart contract, hay front-end), điểm chung là nhà đầu tư thường không lường trước được rủi ro ở lớp hạ tầng mà họ đang tương tác.

Trước nguy cơ drainer lan rộng, đội ngũ *Bonk.fun* khuyến nghị những ai đã truy cập trang trong 24 giờ gần nhất cần thực hiện ngay một số biện pháp bảo mật:

- Hủy kết nối ví với **Bonk.fun** trong phần cài đặt ví.

- Sử dụng các công cụ thu hồi quyền như *Revoke.cash* để xóa các quyền phê duyệt mới cấp gần đây.

- Kiểm tra lịch sử giao dịch để phát hiện kịp thời các khoản chuyển tài sản bất thường.

*SolportTom* cho biết “chúng tôi hiểu rất nhiều người đang lo lắng” và khẳng định đội ngũ đang “thực hiện mọi biện pháp có thể” để xử lý sự cố. Người dùng được khuyên nên chờ thông báo “đã an toàn (all-clear)” từ tài khoản X chính thức của *Bonk.fun* trước khi truy cập lại trang web.

*bình luận* Trong ngắn hạn, nếu sự cố bảo mật kéo dài, người dùng từ **Bonk.fun** có thể dịch chuyển sang các nền tảng cạnh tranh như **Pump.fun** – nơi cũng phục vụ nhu cầu phát hành và giao dịch *meme coin* trên **Solana(SOL)**. Ngược lại, nếu đội ngũ nhanh chóng khôi phục quyền kiểm soát tên miền, nâng cấp bảo mật và có chính sách hỗ trợ, bồi thường rõ ràng, niềm tin thị trường với **Bonk(BONK)** và hệ sinh thái xung quanh hoàn toàn có thể được phục hồi một phần.

Vụ việc lần nữa nhấn mạnh tầm quan trọng của việc bảo vệ lớp giao diện web trong thị trường **tiền mã hóa**: nhà đầu tư không chỉ cần quan tâm hợp đồng thông minh có được audit hay không, mà còn phải cảnh giác với mọi thao tác ký quyền trên trình duyệt – đặc biệt khi giao dịch trên các nền tảng **meme coin** đang tăng trưởng nóng như hiện nay.