Nền tảng launch meme coin DxSale trên BNB Chain bị tấn công, 7,3 triệu USD bốc hơi, hơn 1.400 LP chịu thiệt hại

Nền tảng launch meme coin trên **“BNB Chain” DxSale** vừa bị tấn công, khiến khoảng *7,3 triệu đô la Mỹ* bốc hơi và hơn 1.400 nhà cung cấp thanh khoản (LP) chịu ảnh hưởng. Vụ việc làm dấy lên lo ngại mới về **“DeFi”** và an toàn hợp đồng thông minh trên **“BNB Chain”** nói riêng, thị trường tiền mã hóa nói chung.

Theo công ty bảo mật blockchain PeckShield đưa tin ngày 13 (giờ địa phương), địa chỉ ví tấn công bắt đầu bằng “0xC457” đã rút khoảng 1,87 triệu đô la Mỹ Binance Coin **“BNB(BNB)”**, sau đó chuyển số **“BNB(BNB)”** này tới hai ví chính rồi tiếp tục phân tán vào nhiều địa chỉ nạp tiền khác nhau trên sàn Binance. *bình luận: Cách chia nhỏ và phân tán tiền về nhiều địa chỉ nạp trên sàn giao dịch là chiến thuật quen thuộc để xóa dấu vết on-chain, gây khó khăn cho công tác truy vết và đóng băng tài sản.*

DxSale được sử dụng như một nền tảng khóa thanh khoản (locker) cho các token phát hành trên **“BNB Chain”** từ năm 2021. Theo phân tích on-chain của chuyên gia Taha, hợp đồng locker này vẫn đang nắm giữ thanh khoản của nhiều dự án đã phát hành từ vài năm trước. Đáng chú ý, ví tấn công “0xC457” chỉ mới được tạo gần đây và nguồn tiền ban đầu được cho là đi từ sàn Bybit, cho thấy kẻ tấn công đã chuẩn bị trước luồng vốn để phục vụ cho đợt khai thác lỗ hổng này.

Taha cho biết thêm, nhà triển khai (deployer) DxSale đã âm thầm chuyển quyền sở hữu hợp đồng sang một ví mới cách đây 269 ngày, *không có bất kỳ thông báo công khai nào*. Trong quá trình chuyển giao, dường như một dạng “backdoor” đã được giữ lại, cho phép người nắm giữ quyền kiểm soát có thể thao túng các tham số quan trọng trong hợp đồng. *bình luận: Việc thay đổi chủ sở hữu hợp đồng mà thiếu minh bạch là tín hiệu rủi ro lớn với nhà đầu tư, đặc biệt với các locker nắm giữ thanh khoản lâu dài.*

Sau lần chuyển giao âm thầm đó, quyền sở hữu hợp đồng tiếp tục được chuyển qua lại khoảng 80 lần, tạo ra một chuỗi di chuyển phức tạp và khó lần vết. Cuối cùng, quyền sở hữu dừng tại ví “0xC45…”, và từ thời điểm này, hoạt động rút **“BNB(BNB)”** quy mô lớn bắt đầu diễn ra.

Công ty an ninh Web3 Coinsult phân tích rằng cơ chế setFee với quyền hạn cao cùng phần “lock” được thiết lập với ngày khóa lùi về quá khứ đã biến các khoản “ký gửi bị khóa” thành số dư có thể rút được. Nói cách khác, người nắm quyền đã tận dụng tham số phí và mốc thời gian khóa để mở khóa lượng thanh khoản đáng lẽ phải bị “đóng băng”. *bình luận: Đây là ví dụ điển hình cho rủi ro “quyền admin” trong hợp đồng thông minh – ngay cả khi nền tảng được quảng bá là phi tập trung, quyền kiểm soát ẩn vẫn có thể khiến tài sản của LP bị thao túng.*

Sự cố với DxSale diễn ra trong bối cảnh các vụ tấn công **“DeFi”** có dấu hiệu tăng trở lại. Dữ liệu từ DefiLlama cho thấy, riêng trong tháng 5, tổng số tiền bị đánh cắp đã đạt khoảng 52 triệu đô la Mỹ. Con số này thấp hơn nhiều so với 634 triệu đô la Mỹ bị rút ruột trong tháng 4, nhưng vẫn đủ để duy trì tâm lý dè chừng trên thị trường. Nhiều chuyên gia cảnh báo, việc kẻ xấu tận dụng **“AI”** để quét và khai thác lỗ hổng hợp đồng thông minh đang khiến tốc độ phát hiện – và khai thác – bug tăng nhanh hơn đáng kể so với trước đây.

Với DxSale, thiệt hại ước tính khoảng 7,3 triệu đô la Mỹ và hơn 1.400 LP liên quan đến **“BNB Chain”** bị ảnh hưởng cho thấy rủi ro không chỉ nằm ở bản thân blockchain, mà ở thiết kế sản phẩm **“DeFi”** và mô hình quản trị quyền hạn. Việc dòng tiền bị tẩu tán nhanh, phân tán qua nhiều ví và sàn khác nhau khiến khả năng thu hồi tài sản bị đánh giá là rất thấp. *bình luận: Vụ DxSale là lời nhắc mạnh mẽ rằng nhà đầu tư cần ưu tiên các giao thức có cơ chế khóa thanh khoản minh bạch, không có quyền admin tuyệt đối, và được kiểm toán độc lập nhiều lớp – nhất là khi tham gia cung cấp thanh khoản trên **“BNB Chain”** và hệ sinh thái **“DeFi”** nói chung.*