Một cuộc tấn công khác trị giá hàng triệu đô la đã nhắm vào lĩnh vực DeFi sau khi nhà cung cấp thanh khoản và người tạo lệnh TrustedVolumes trở thành nạn nhân của một cuộc khai thác hợp đồng thông minh vào tối thứ Năm.
TrustedVolumes bị tấn công bởi $6,7 triệu
Vào thứ Năm, nền tảng DeFi TrustedVolumes, một trong những nhà cung cấp thanh khoản và người tạo lệnh của 1inch, đã bị khai thác một lỗ hổng mới khiến hàng triệu đô la tài sản đa dạng bị rút cạn khỏi dự án.
Theo các báo cáo từ các công ty bảo mật blockchain PeckShield và Blockaid, kẻ tấn công đã đánh cắp khoảng 6 triệu USD dưới dạng Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT và USDT sau khi khai thác lỗ hổng trong logic xác thực chữ ký cốt lõi của giao thức, cho phép chúng bypass các kiểm tra ủy quyền và giả mạo lệnh giao dịch.
Đáng chú ý, tên hacker đã nhanh chóng đổi toàn bộ tài sản thành 2.513 ETH trên một Sàn giao dịch phi tập trung (DEX) và phân phối chúng qua ba địa chỉ. Trong một bài đăng trên X, TrustedVolumes xác nhận sự cố, chia sẻ các địa chỉ hiện đang giữ số tiền bị đánh cắp và cập nhật ước tính tổn thất khoảng 6,7 triệu USD.
Lỗ hổng là một proxy hoán đổi RFQ tùy chỉnh do TrustedVolumes kiểm soát. Nhà nghiên cứu bảo mật Crypto Humphrey giải thích rằng “hợp đồng Proxy Hoán đổi RFQ Tùy chỉnh chứa một hàm được thiết kế để quản lý danh sách trắng ‘người ký lệnh được ủy quyền’. Các cơ chế danh sách trắng như vậy rất phổ biến trong DeFi—chỉ các địa chỉ nằm trong danh sách trắng mới có thể đưa ra các hướng dẫn giao dịch hợp lệ thay mặt giao thức.”
Tuy nhiên, anh ấy lưu ý rằng “chức năng đăng ký này là công khai và không có bất kỳ bộ điều chỉnh quyền nào.” Kết quả là, kẻ tấn công đã khai thác chức năng công khai này trong hợp đồng, đăng ký chính mình làm người ký lệnh được ủy quyền.
“Vì bất kỳ địa chỉ bên ngoài nào cũng có thể gọi hàm này, nên điều này tương đương với việc trao cho mọi người khả năng sao chép chìa khóa của két sắt,” nhà nghiên cứu tiếp tục.
Cùng một tin tặc, cuộc tấn công khác
Các báo cáo trực tuyến cho thấy kẻ tấn công chính là hacker trách nhiệm cho vụ khai thác hợp đồng Settlement của 1inch Fusion V1 trị giá 5 triệu đô la vào tháng 3 năm 2025, trong đó TrustedVolumes là nạn nhân chính.
Humprey nhấn mạnh rằng, mặc dù cùng một cá nhân thực hiện cả hai cuộc tấn công, nhưng chúng khác biệt đáng kể về mặt kỹ thuật. Theo bài đăng, lỗ hổng năm 2025 liên quan đến thao tác bộ nhớ EVM cấp thấp trong hợp đồng Settlement của 1inch Fusion V1.
Lúc đó, tin tặc “chủ động khởi xướng các cuộc đàm phán trên chuỗi”, đề nghị trả lại tài sản bị đánh cắp để nhận phần thưởng white hat. Nền tảng DeFi đã chấp nhận đề xuất này, và phần lớn số tiền đã được hoàn trả an toàn.
Hiện tại, TrustedVolumes khẳng định rằng họ “sẵn sàng giao tiếp mang tính xây dựng về chương trình bounty lỗi và một giải pháp chấp nhận được cho cả hai bên.”
Trình tổng hợp sàn giao dịch phi tập trung 1inch làm rõ rằng không có tác động nào đến hệ thống, cơ sở hạ tầng hoặc quỹ người dùng của nó, giải thích rằng “TrustedVolumes hoạt động độc lập với tư cách là nhà cung cấp thanh khoản, được sử dụng bởi nhiều giao thức khác nhau trong ngành và không độc quyền với 1inch.”
Các vụ khai thác DeFi tăng đột biến lịch sửCuộc tấn công này xảy ra sau làn sóng các vụ khai thác lỗ hổng đã làm rung chuyển ngành DeFi trong tháng qua. Tuần trước, PeckShield tiết lộ rằng không gian tiền điện tử đã ghi nhận 40 vụ hack lớn trong tháng Tư, làm thất thoát khoảng 647 triệu USD.
Con số này thể hiện mức tăng 1.140% so với tháng trước (MoM) từ mức 52,2 triệu USD của tháng Ba. Nó cũng đại diện cho sự gia tăng 292% so với mức 165 triệu USD mà ngành DeFi mất đi trong quý đầu tiên của năm 2026.
Đáng chú ý, hai sự cố lớn nhất trong tháng, Drift Protocol bị đánh cắp 285 triệu USD và KelpDAO bị đánh cắp 290 triệu USD, chiếm 91% số tiền bị mất vào tháng trước. Ngoài ra, chúng hiện đã lọt vào danh sách 10 vụ hack lớn nhất kể từ năm 2021.
