INK Finance, một giao thức quản lý kho bạc và hạ tầng không gian làm việc DeFi trên Polygon, gần đây đã trải qua một vụ xâm phạm quyền hạn nghiêm trọng. Các kẻ tấn công đã rút khoảng 140.000 USD sau khi khai thác các lỗ hổng trong logic xác minh kho bạc của nền tảng.
Cuộc tấn công diễn ra sau khi một hợp đồng giả mạo đã thành công trong việc giả danh một thực thể được phê duyệt trong hệ thống kho bạc. Lỗ hổng này cho phép kẻ tấn công vượt qua các kiểm tra đủ điều kiện và kích hoạt một khoản chuyển kho bạc được ủy quyền mà không có hạn chế ngay lập tức.
Trong khi đó, vụ khai thác đã tăng thêm tốc độ thực thi thông qua khoản vay flash trị giá khoảng 25.000 USD từ Balancer V2 được chuyển từ Railgun vào Polygon. Luồng này cho thấy cách các hệ thống thanh khoản ngày càng liên kết chặt chẽ giúp nâng cao hiệu quả khai thác trên cơ sở hạ tầng DeFi.
Thay vì nhắm vào các lớp mã hóa nâng cao, các kẻ tấn công đã khai thác các giả định về niềm tin vận hành xung quanh quyền truy cập danh sách trắng, củng cố những lo ngại ngày càng tăng về thiết kế ủy quyền yếu trong các kiến trúc kho bạc.
Hệ thống ủy quyền kho bạc trở thành lớp yếu nhất của DeFi
Việc xâm phạm kho bạc ngày càng phản ánh một sự thay đổi rộng hơn trong cảnh tượng tấn công đang phát triển của DeFi dưới sự gia tăng độ phức tạp của cơ sở hạ tầng. Thay vì nhắm vào các hồ thanh khoản hoặc hệ thống định giá, các kẻ tấn công ngày càng tập trung vào các lớp ủy quyền kho bạc có quyền ưu tiên, nơi lưu trữ nguồn dự trữ giao thức tập trung.
Cuộc khai thác của INK Finance cũng củng cố cách các kẻ tấn công ngày càng nhắm vào các hệ thống ủy quyền kho bạc thông qua các chiến lược thực thi chi phí thấp, độ chính xác cao. Mô hình này làm nổi bật cách các phương pháp khai thác hiện đại ngày càng ưu tiên tăng quyền truy cập thay vì các kỹ thuật thao túng thanh khoản rộng hơn.
Trong khi đó, các sự cố tương tự về danh sách trắng và kiểm soát truy cập đã tiếp tục gia tăng trong các hệ thống kho bạc được quản lý bởi DAO xuyên suốt năm 2026. Những thất bại lặp đi lặp lại này ngày càng phơi bày những điểm yếu trong các lớp xác thực vận hành nằm dưới nền tảng DeFi đang mở rộng.
Tuy nhiên, các lỗ hổng ủy quyền kéo dài cũng làm nổi bật cách mức độ trưởng thành về bảo mật vận hành vẫn còn tụt hậu so với sự tăng trưởng nhanh chóng về cơ sở hạ tầng và vốn trong tài chính phi tập trung.
Các lỗ hổng nhỏ tiếp tục làm suy yếu niềm tin vào DeFi
Sóng gia tăng các vụ khai thác quyền hạn kho bạc ngày càng bắt đầu ảnh hưởng đến niềm tin rộng rãi hơn đối với cơ sở hạ tầng DeFi. Vụ khai thác của INK Finance về mặt tài chính vẫn tương đối nhỏ, mặc dù sự việc vẫn lan truyền nhanh chóng trên các bảng điều khiển bảo mật và hệ thống giám sát trên chuỗi.
Sự hiện diện này quan trọng vì người dùng ngày càng xem các vụ xâm phạm giá trị thấp lặp đi lặp lại là tín hiệu cho thấy sự dễ tổn thương trong cơ sở hạ tầng phía sau sự tăng trưởng của hệ sinh thái. Trong khi đó, các sự việc tương tự liên quan đến SmartCredit, Sharwa và Quant tiếp tục làm nổi bật những lo ngại rộng hơn về sự thiếu kỷ luật trong an ninh vận hành.
Sự cố này cũng làm rõ lý do tại sao các vụ khai thác nhỏ vẫn gây tác động thị trường không tương xứng, dù thiệt hại tài chính trực tiếp hạn chế. Các lần thất bại trong xác thực lặp đi lặp lại dần làm suy yếu niềm tin của người dùng, làm chậm việc triển khai vốn và tăng sự thận trọng trong các hệ thống DeFi liên kết với nhau.
Tuy nhiên, nhiều vụ vi phạm này vẫn xuất phát từ các lỗ hổng về quyền hạn có thể phòng ngừa được, thay vì do những thất bại kỹ thuật phức tạp. Nói một cách đơn giản, mức độ trưởng thành về vận hành vẫn đang tụt hậu so với độ phức tạp của hạ tầng.
Tổng kết cuối cùng
- INK Finance đã mất khoảng 140.000 USD sau khi kẻ tấn công vượt qua xác minh danh sách trắng thông qua một hợp đồng người yêu cầu giả mạo bên trong hệ thống kho bạc của nó.
- Các vụ khai thác quyền truy cập DeFi giá trị thấp lặp đi lặp lại tiếp tục làm suy yếu niềm tin của người dùng.