Tin tức 
Thông tin Coin 
Về chúng tôi 
Theo Blockaid đưa tin ngày 26 (giờ địa phương), tin tặc đã lợi dụng lỗ hổng trong mô-đun bên thứ ba *SquidRouterModule* để tấn công hàng loạt ví *Safe*, đánh cắp gần 3 triệu đô la Mỹ từ 86 ví chỉ trong khoảng 2 giờ. Vụ việc cho thấy rủi ro bảo mật không chỉ nằm ở hạ tầng ví cốt lõi, mà còn ở các mô-đun bên ngoài và cách người dùng thiết lập quyền truy cập.
Blockaid cho biết, kẻ tấn công đã khai thác lỗ hổng trong hàm `executeSameChainActions()` của mô-đun *SquidRouterModule*. Một số ví *Safe* trước đó đã cấp quyền phê duyệt sẵn cho mô-đun này, tạo điều kiện để tin tặc thực hiện giao dịch mà không cần chữ ký lại của người dùng. Hàm nói trên trở thành “cửa ngõ” giúp kẻ tấn công giả dạng như người dùng hợp lệ, từ đó tiến hành thao túng thanh khoản và dựng lên các giao dịch hoán đổi *Uniswap V3* giả để rút tiền.
Theo phân tích trên chuỗi, trước khi bắt đầu cuộc tấn công, hacker đã nạp khoảng 2,1 *Ethereum(ETH)* thông qua giao thức trộn *Tornado Cash* nhằm che giấu nguồn gốc tiền. Sau đó, cuộc tấn công được tự động hóa và triển khai đồng thời trên mạng *Ethereum(ETH)* và *Base*, nhắm vào các ví đã cấp quyền cho mô-đun dễ bị tổn thương.
Số tài sản bị đánh cắp được chuyển đổi qua nhiều loại stablecoin như *USD Coin(USDC)* và *Tether(USDT)*, cuối cùng hợp nhất thành khoảng 3,07 triệu đô la Mỹ giá trị *Dai(DAI)*. Lượng *Dai(DAI)* này hiện vẫn được báo cáo là đang nằm trong ví thuộc quyền kiểm soát của kẻ tấn công.
Đại diện *Safe* và phía Squid khẳng định hợp đồng định tuyến cốt lõi và tài sản người dùng nằm trong hạ tầng chính của ví không bị xâm phạm trực tiếp. Vấn đề nằm ở một số ví đã “tự nguyện” cấp quyền trước đó cho mô-đun bên ngoài, từ đó mở ra bề mặt tấn công mới. *bình luận* Vụ việc là lời nhắc rằng bảo mật ví không chỉ dừng lại ở “từ Safe” hay “từ ví đa chữ ký”, mà phụ thuộc lớn vào các mô-đun được tích hợp kèm, cũng như thói quen quản lý quyền truy cập của người dùng và nhà phát triển hợp đồng thông minh.
Trong bối cảnh ngày càng nhiều ứng dụng phi tập trung kết nối với ví thông qua mô-đun, plugin và hợp đồng phụ, các chuyên gia bảo mật khuyến nghị người dùng thường xuyên rà soát lại các quyền đã cấp, hạn chế phê duyệt “không giới hạn”, đồng thời ưu tiên sử dụng mô-đun đã được kiểm toán kỹ lưỡng. Điều này đặc biệt quan trọng với các ví quản lý số vốn lớn, bởi chỉ một *từ mô-đun* yếu kém cũng có thể khiến toàn bộ tài sản bị cuốn sạch chỉ trong vài giờ.
Bình luận 0