Coinbase(COIN) bị đánh cắp 300.000 USD do lỗi bảo mật hợp đồng thông minh 0x

Theo Deebeez công bố ngày 3 (giờ địa phương), sàn giao dịch tiền mã hóa lớn nhất Hoa Kỳ Coinbase(COIN) đã bị đánh cắp khoảng 300.000 USD (tương đương hơn 4,1 tỷ đồng) do lỗi phê duyệt hợp đồng thông minh trong quá trình tương tác với dự án 0x. Vụ việc bắt nguồn từ cách xử lý sai hợp đồng Swapper sử dụng cấu trúc "permissionless" (không cần cấp phép), tạo điều kiện cho một bot MEV (giá trị trích xuất tối đa) khai thác lỗ hổng và chuyển đi toàn bộ phí bằng các loại tiền mã hóa đã được phê duyệt.

Theo phân tích từ công ty an ninh mạng Ben Network, nhà nghiên cứu Deebeez cho biết Coinbase đã cấp quyền phê duyệt tài sản từ ví doanh nghiệp đến hợp đồng thông minh của 0x. Tuy nhiên, Swapper của 0x vốn dĩ chỉ là một công cụ hoán đổi token, không được thiết kế để tiếp nhận quyền phê duyệt như các hợp đồng tiêu chuẩn bảo mật. Do được xây dựng theo mô hình "permissionless", bất kỳ ai cũng có thể gọi hợp đồng này. Khi quyền phê duyệt được cấp, hợp đồng trở thành điểm yếu bảo mật nghiêm trọng, dễ bị kẻ xấu lợi dụng để truy cập tài sản.

Deebeez chia sẻ thêm: "Hợp đồng Swapper từng gặp sự cố tương tự trên chuỗi Base khi xảy ra vụ tấn công trong quá trình nhận token Zora. Trường hợp hiện tại cho thấy rủi ro vẫn chưa được khắc phục triệt để."

Dựa trên ảnh màn hình được công bố, Coinbase đã vô tình phê duyệt quyền truy cập cho nhiều loại token bao gồm Amp, MyOneProtocol, DEXTools và Swell Network. Lợi dụng điều này, một MEV bot đã nhanh chóng khai thác hợp đồng Swapper, gọi hàm để chuyển toàn bộ tài sản về ví riêng – hoàn tất hành vi đánh cắp.

Vụ việc một lần nữa cảnh báo về tầm quan trọng của việc tuân thủ các "nguyên tắc cơ bản trong bảo mật hợp đồng thông minh". Khi cấp quyền đến các hợp đồng có thể bị bất kỳ bên nào gọi tới, về bản chất, điều này không khác nào việc giao quyền kiểm soát tiền mã hóa cho bên thứ ba không rõ danh tính.

Các chuyên gia bảo mật tài sản kỹ thuật số tỏ ra lo ngại trước sai sót cơ bản của Coinbase(COIN) – một trong những tổ chức đầu ngành. Họ kêu gọi cần thiết lập các quy trình kiểm tra chặt chẽ hơn nhằm tránh lặp lại những lỗi tương tự khi tương tác với hợp đồng thông minh.

Bình luận: Vụ việc là lời nhắc nhở về mối nguy tiềm ẩn từ việc sử dụng hợp đồng theo mô hình permissionless trong thị trường tiền mã hóa. Ngay cả những tên tuổi lớn như Coinbase(COIN) cũng không an toàn tuyệt đối nếu chủ quan trong kiểm toán và đánh giá rủi ro.