BlockSec: Lỗ hổng hợp đồng thông minh gây thiệt hại 17 triệu USD

BlockSec Phalcon phát hiện loạt giao dịch đáng ngờ nhắm vào các hợp đồng nạn nhân trên Ethereum, Arbitrum, Base và BSC, gây thiệt hại tổng cộng hơn 17 triệu USD.

Các giao dịch xuất phát từ các hợp đồng được triển khai bởi 2 creator, lợi dụng lỗ hổng arbitrary call trong các hợp đồng không open source và lạm dụng quyền token đã được cấp để thực hiện transferFrom nhằm đánh cắp tài sản.

Diễn biến và quy mô thiệt hại

Trong vài giờ trước thời điểm ghi nhận ngày 26/01, hệ thống giám sát BlockSec Phalcon phát hiện chuỗi giao dịch đáng ngờ dẫn tới một cuộc tấn công, gây lỗ tổng cộng hơn 17 triệu USD.

Các giao dịch nhắm vào hợp đồng nạn nhân đã được triển khai trên 4 mạng: Ethereum, Arbitrum, Base và BSC. Theo mô tả, nguồn khởi phát đến từ các hợp đồng do hai creator triển khai, sau đó tương tác với các hợp đồng nạn nhân để rút tài sản.

Thiệt hại được quy về hai địa chỉ deployer bị ảnh hưởng, gồm một trường hợp khoảng 3,67 triệu USD và một trường hợp khoảng 13,41 triệu USD, phản ánh mức độ nghiêm trọng của rủi ro khi nhiều hợp đồng cùng bị khai thác theo một mô thức.

Cơ chế tấn công: arbitrary call và lạm dụng token authorization

Các hợp đồng nạn nhân không open source và được cho là có lỗ hổng arbitrary call, tạo điều kiện để kẻ tấn công gọi thực thi tùy ý trong bối cảnh hợp đồng.

Kẻ tấn công đã lạm dụng các token authorization sẵn có, sử dụng thao tác transferFrom để chuyển tài sản ra khỏi hợp đồng/địa chỉ nạn nhân. Điều này cho thấy rủi ro không chỉ đến từ lỗi logic, mà còn từ việc quyền ủy quyền token (approval) bị tận dụng khi hợp đồng cho phép luồng gọi thiếu kiểm soát.

• 0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112 — Thiệt hại khoảng 3,67 triệu USD
• 0x9cb8d9BaE84830b7F5F11ee5048c04a80b8514BA — Thiệt hại khoảng 13,41 triệu USD