Memecoin Bonk.fun bị chiếm quyền tên miền, lộ rõ rủi ro bảo mật tiền mã hóa từ hạ tầng web2

Nền tảng phát hành *봉크(BONK)* 기반 밈코인 *bonk.fun* mới đây bị tấn công, xuất hiện nỗ lực đánh cắp tài sản trong ví người dùng thông qua chiếm quyền tên miền và chèn mã tấn công dạng “drainer” lợi dụng bước *từ*phê duyệt ví*từ*.

Sự cố này không xuất phát từ lỗ hổng *từ*smart contract*từ* mà nhắm trực tiếp vào hạ tầng website, cho thấy bức tranh *từ*bảo mật tiền mã hóa*từ* đang dịch chuyển rõ rệt từ lỗi mã nguồn on-chain sang rủi ro giao diện và hạ tầng web.

Theo chia sẻ trên mạng xã hội X ngày 12 (giờ địa phương), Tom (@SolportTom), người vận hành bonk.fun, cho biết tên miền chính của nền tảng đã bị xâm nhập và cảnh báo người dùng “không tương tác với website cho đến khi có thông báo mới”. Tài khoản chính thức của nền tảng phát hành token Solana do cộng đồng *봉크(BONK)* và Raydium hỗ trợ cũng xác nhận tình trạng này, đồng thời lặp lại khuyến nghị ngừng sử dụng trang.

Theo lời Tom, kẻ tấn công đã chèn một cửa sổ yêu cầu ký “*từ*điều khoản dịch vụ (TOS) giả mạo*từ*” lên giao diện website. Khi người dùng nhầm tưởng đây là bước xác nhận hợp lệ và ký giao dịch, họ vô tình trao quyền truy cập ví cho kẻ xấu, cho phép chúng chuyển tài sản ra ngoài. Tom nhấn mạnh chỉ những người “thực sự đã ký vào điều khoản giả mạo” mới bị ảnh hưởng; những ai chỉ từng kết nối ví trước đây hoặc giao dịch *봉크(BONK)* thông qua các terminal bên ngoài không nằm trong diện rủi ro. Nhờ phát hiện tương đối sớm, quy mô thiệt hại hiện tại được đánh giá là “giới hạn”.

Về bản chất, đây là một cuộc tấn công “*từ*hạ tầng web2*từ*” nhắm vào tên miền và front-end, chứ không phải lỗi trong *봉크(BONK)* hay smart contract của Raydium. Cách thức phổ biến là kẻ tấn công chiếm quyền hiển thị giao diện website, sau đó dựng các cửa sổ phê duyệt ví trông giống hệt giao diện chuẩn, lừa người dùng ký cấp quyền chuyển token. Khi giao dịch phê duyệt được ký, quyền di chuyển tài sản trong ví lập tức thuộc về bên tấn công.

*bình luận* Những cuộc tấn công kiểu này ngày càng khó phát hiện bằng “trực giác”, vì giao diện, logo, tên miền, thậm chí kết nối bảo mật (HTTPS) đều có thể bị giả mạo hoặc chiếm quyền, khiến người dùng tin rằng mình đang tương tác với dịch vụ hợp lệ.

Theo dữ liệu của hãng phân tích on-chain Chainalysis, riêng trong năm 2025, lượng tiền chảy vào các hình thức *từ*lừa đảo on-chain*từ* ước tính lên tới khoảng 14 tỷ USD; khi bổ sung thêm các ví nạn nhân được nhận diện muộn, tổng thiệt hại có thể vượt 17 tỷ USD. Sự lan rộng của tấn công mạo danh dùng AI, giao diện giả, chiếm đoạt tên miền… đang khiến trọng tâm *từ*bảo mật tiền mã hóa*từ* dần rời khỏi việc chỉ rà soát lỗi mã smart contract, chuyển sang bảo vệ giao diện người dùng, hạ tầng web và toàn bộ vòng đời tương tác của nhà đầu tư.

Thực tế, vào tháng 2 năm ngoái, nền tảng phát hành memecoin *Pump.fun* cũng bị chiếm quyền tài khoản X, dẫn đến các chiến dịch quảng bá token giả. Trước đó, trader nổi tiếng *Sillytuna* chịu thiệt hại hàng triệu USD trong một vụ tấn công kết hợp “ô nhiễm địa chỉ trực tuyến” với hành vi phạm tội ngoài đời, và đã rời khỏi thị trường sau biến cố.

Nhiều chuyên gia thị trường nhận định mối đe dọa trong lĩnh vực *từ*bảo mật tiền mã hóa*từ* hiện đã mở rộng khỏi phạm vi smart contract thuần túy, bao trùm cả tên miền, tài khoản mạng xã hội lẫn quá trình ra quyết định của người dùng. Đội ngũ vận hành bonk.fun cũng kêu gọi nhà đầu tư ưu tiên tương tác trực tiếp với contract hoặc sử dụng các giao diện giao dịch đã được cộng đồng kiểm chứng, đồng thời thường xuyên rà soát và *từ*hủy bỏ quyền phê duyệt token*từ* không còn cần thiết, coi đó là bước quản lý rủi ro bắt buộc trong bối cảnh tấn công “phê duyệt giả mạo” ngày càng gia tăng.