Arcadia Finance bị tấn công, thiệt hại 2,5 triệu USD trên Base Network

Một cuộc tấn công nghiêm trọng đã xảy ra trên nền tảng tài chính phi tập trung (DeFi) Arcadia Finance, khiến tổng thiệt hại lên tới khoảng 2,5 triệu USD (tương đương khoảng 34,7 tỷ đồng). Sự việc xảy ra trên mạng blockchain cơ sở ⸺ Base Network, qua đó tiếp tục gióng lên hồi chuông cảnh báo về rủi ro bảo mật trong lĩnh vực DeFi.

Theo Cyvers, công ty chuyên về an ninh blockchain, vụ tấn công nhắm vào hợp đồng thông minh “Rebalancer” – một thành phần cốt lõi trong nền tảng của Arcadia Finance. Cụ thể, kẻ tấn công đã lợi dụng lỗ hổng trong tham số “swapData”, cho phép thực hiện các giao dịch trái phép để truy cập vào tài sản lưu trữ của người dùng.

Vụ việc diễn ra lúc 13h05 phút ngày 12 (giờ Hàn Quốc). Chỉ trong vòng chưa đầy một phút sau khi triển khai hợp đồng thông minh độc hại, kẻ xâm nhập đã hoàn tất hành vi đánh cắp. Sau khi chiếm đoạt, các token bị đánh cắp lập tức được quy đổi sang Wrapped Ethereum (WETH), sau đó được chuyển từ nền tảng Base sang mạng chính Ethereum thông qua một dịch vụ bridge.

Báo cáo từ Cyvers cho biết: kẻ tấn công đã sử dụng nhiều địa chỉ trung gian mới để phân phối tài sản đánh cắp trên Ethereum nhằm gây khó khăn cho việc truy vết. Bình luận: Việc chia nhỏ và phân tán tài sản sang nhiều ví đồng thời sử dụng các công cụ như sàn giao dịch phi tập trung (DEX) hoặc dịch vụ trộn coin (mixing service) là dấu hiệu cho thấy ý đồ “rửa tiền” sau tấn công.

Tổng số tài sản bị rút khỏi nền tảng Arcadia Finance ước tính gồm khoảng 2,3 triệu USDC (tương đương 31,9 tỷ đồng) và 227.000 USDS (khoảng 3,1 tỷ đồng). Ngoài ra, tin tặc còn chiếm dụng thêm 199 WETH và gần 965,8 triệu token AERO. Sự việc đã ảnh hưởng đến ít nhất 12 ví cá nhân của người dùng.

Nhằm ngăn chặn hành vi tiếp tục lợi dụng các nguồn tài sản này, Cyvers đã khuyến nghị đưa toàn bộ các địa chỉ liên quan vào danh sách đen trên cả Base Network và Ethereum. Đồng thời, tổ chức này cũng kêu gọi các sàn lớn và dịch vụ cầu nối (bridge) lập tức khoá các địa chỉ đáng ngờ, cũng như chuyển giao thông tin điều tra cho cơ quan chức năng.

Arcadia Finance xác nhận sự cố ngay trong ngày 12 thông qua nền tảng X (trước đây là Twitter), thừa nhận đã xảy ra hành vi truy cập trái phép thông qua hợp đồng Rebalancer. Họ cũng kêu gọi người dùng “gỡ toàn bộ quyền đã cấp cho chức năng Rebalancer” để phòng ngừa rủi ro tiếp theo.

Bình luận: Vụ việc tiếp tục cho thấy nguy cơ tiềm ẩn từ chính các dòng mã lệnh trong hợp đồng thông minh – nền tảng cốt lõi của nhiều dự án DeFi. Các chuyên gia cảnh báo rằng, nếu các nền tảng không thực hiện kiểm toán độc lập và thiết lập chiến lược quản trị rủi ro toàn diện, các sự cố tương tự sẽ còn tái diễn trong tương lai.

Sự việc của Arcadia Finance càng đặc biệt nghiêm trọng khi xảy ra trên nền tảng Base – một blockchain mới nổi thuộc hệ sinh thái Ethereum, cho thấy ngay cả các mạng lưới “công nghệ hiện đại” cũng không miễn nhiễm trước các vấn đề bảo mật. Việc **tăng cường kiểm soát hợp đồng thông minh** và sớm triển khai các biện pháp phòng ngừa rủi ro sẽ là ưu tiên hàng đầu trong giai đoạn phát triển tiếp theo của thị trường tài chính phi tập trung.