Hacker đánh cắp 2 triệu USD trên Binance Smart Chain do lỗ hổng hợp đồng thông minh

Một vụ tấn công nhắm vào chuỗi Binance Smart Chain (BSC) vừa được phát hiện, khiến cộng đồng tiền mã hóa thêm một lần nữa lo ngại về các rủi ro liên quan đến lỗ hổng hợp đồng thông minh. Đáng chú ý, vụ việc đã dẫn đến thất thoát khoảng 2 triệu USD (tương đương 27,8 tỷ đồng) - theo thông tin từ công ty bảo mật blockchain CertiK ngày 24 (giờ địa phương).

Theo CertiK, **hacker** đã lợi dụng một hợp đồng thông minh được lập trình tinh vi để thực hiện thao tác khai thác thông qua hàm “printMoney()” – vốn bị gọi lặp lại nhiều lần nhằm rút tiền bất hợp pháp. Kẻ tấn công khai thác quyền phê duyệt hợp đồng đã được cấp trước đó, qua đó chuyển token ra ngoài mà không được sự cho phép từ người dùng. Vụ việc được tiến hành thông qua một địa chỉ ví cụ thể trên mạng lưới BSC.

Một chi tiết đáng chú ý là ví nạn nhân đã thực hiện giao dịch phê duyệt cho hợp đồng tấn công ngay trước khi vụ việc xảy ra, làm dấy lên nghi ngại về khả năng bị rò rỉ khóa cá nhân. Sau khi chiếm đoạt token, hacker lập tức hoán đổi sang các loại tài sản như Binance Coin (BNB) và stablecoin, tổng cộng khoảng 1,96 triệu USD đang nằm trong địa chỉ ví được xác định. CertiK hiện đang theo sát ví này và sẽ gửi cảnh báo nếu phát hiện dấu hiệu chuyển tài sản khác.

Bình luận: Đây là ví dụ tiêu biểu cho việc hacker tận dụng "kỹ thuật phishing chuyên biệt" và cơ chế xét duyệt hợp đồng thông minh chưa an toàn để khai thác lỗ hổng. Riêng trong tháng 5, tổng thiệt hại từ các vụ hack và lừa đảo trong thị trường tiền mã hóa lên tới 140,1 triệu USD (hơn 1.951 tỷ đồng), trong đó hơn 8,5 triệu USD (118,1 tỷ đồng) là do phishing gây ra.

Các chuyên gia trong ngành cho rằng việc triển khai hợp đồng thông minh vội vàng và bỏ qua quy trình kiểm toán mã là nguyên nhân chính dẫn đến rủi ro. CertiK khuyến nghị cộng đồng người dùng và nhà phát triển nên thường xuyên kiểm tra lịch sử phê duyệt hợp đồng, ưu tiên dùng mã nguồn đã được kiểm toán công khai. Đồng thời, việc bảo mật khóa riêng như kích hoạt xác thực hai lớp và lưu trữ trong ví lạnh cũng rất quan trọng nhằm giảm thiểu nguy cơ rò rỉ thông tin cá nhân.

Từ đầu năm 2025 đến nay, thị trường liên tục ghi nhận loạt vụ hack quy mô lớn. Trước đó, sàn giao dịch Coinbase chịu tổn thất 400 triệu USD (hơn 5.560 tỷ đồng), và nền tảng Sui - Cetus bị rút khỏi hệ thống hơn 220 triệu USD (khoảng 3.058 tỷ đồng). Vụ việc lần này trên BSC tiếp tục cho thấy mức độ nghiêm trọng của các lỗ hổng bảo mật trong lĩnh vực blockchain.

CertiK khẳng định sẽ tiếp tục theo dõi sát sao tình hình và kêu gọi tất cả người dùng thực hiện các bước bảo vệ cần thiết. Tuyên bố của CertiK nhấn mạnh: “Hãy tránh xa những hợp đồng chưa được kiểm chứng và dành thời gian kiểm tra kỹ trước khi cấp quyền phê duyệt.”

Từ khóa: "Binance Smart Chain", "hợp đồng thông minh", "CertiK", "phishing", "hacker"