Mùa
Bảng xếp hạng
Tin tức
Tìm hiểu
Nghiên cứu
Xếp hạng
Hệ sinh thái

Vụ trộm 4,67 triệu đô từ cầu nối Secret Network bắt đầu chỉ vì thiếu một bước kiểm tra

profile-mehjabeen-arsiwala
Mehjabeen Arsiwala1 giờ trước
#Tin tặc #Mạng Secret
Vụ trộm 4,67 triệu đô từ cầu nối Secret Network bắt đầu chỉ vì thiếu một bước kiểm tra

Kẻ tấn công đã rút khoảng 4,67 triệu đô từ cầu nối Secret (SCRT) gắn với Axelar (AXL), bằng cách khai thác một hợp đồng lỗi cho phép đúc token không có tài sản bảo chứng từ con số không.

Các điểm chính:

  • Một hợp đồng lỗi trên Secret Network cho phép kẻ tấn công đúc token không bảo chứng, rút khoảng 4,67 triệu đô.
  • Vụ trộm bị che giấu suốt bảy ngày cho đến khi một giao dịch chuyển thất bại làm lộ tài khoản ký quỹ trống rỗng.
  • Axelar đã vô hiệu hóa các kết nối bị ảnh hưởng và khẳng định giao thức lõi của họ không bị đụng tới.

Cầu nối Secret Network mất hàng triệu đô

Vụ trộm bắt đầu vào ngày 10/6 nhưng không bị phát hiện trong bảy ngày, vì Secret mã hóa số dư theo mặc định nên tài sản thế chấp bị thiếu không hiển thị trên chuỗi. Vụ việc chỉ lộ ra vào ngày 17/6, khi một giao dịch chuyển xuyên chuỗi thường lệ thất bại do tài khoản ký quỹ đã cạn sạch. Các nhà điều tra sau đó truy ngược khoản thiếu hụt về bảy lần rút khả nghi được thực hiện ngay trong ngày đầu tiên.

Axelar xác nhận khoản thất thoát vào ngày 19/6 và vô hiệu hóa các kết nối Secret và Secret-SNIP bị ảnh hưởng chỉ trong vài giờ, đồng thời nhấn mạnh rằng giao thức lõi của họ không bị động chạm. Đội ngũ cho biết họ đã liên hệ với các sàn giao dịch và cơ quan thực thi pháp luật để truy dấu dòng tiền, trong đó khoảng 672.000 đô vẫn còn nằm yên trong ví chính của kẻ tấn công.

Đọc thêm: Làn sóng rút vốn khỏi Bitcoin ETF lập kỷ lục 6,35 tỷ đô, nhưng bán tháo hoảng loạn có thể đang hạ nhiệt

Lỗi đúc vô hạn qua mặt hợp đồng

Hợp đồng dễ bị tấn công này đúc các bản Secret-wrapped của tài sản được cầu nối, nhưng lại không bao giờ xác minh kênh mà khoản nạp thực sự đi qua, mà chỉ so khớp tên token với danh sách được phê duyệt.

Công ty nghiên cứu Common Prefix đã công bố một báo cáo hậu kiểm cho thấy khoảng trống duy nhất đó đã làm mọi thứ sụp đổ như thế nào. Do mạng lưới ẩn các giao dịch theo mặc định, việc lần theo dấu vết kẻ tấn công khó hơn rất nhiều so với trên một sổ cái công khai hoàn toàn minh bạch.

Để khai thác, kẻ tấn công đã dựng một chuỗi với một trình xác thực, mở một kênh trái phép và tự chuyển tiếp các gói dữ liệu giả chứa tên token được sao chép y nguyên từ danh sách cho phép.

Hợp đồng chấp nhận chúng và đúc ra các token thật, có thể quy đổi được, hoàn toàn không có tài sản nào đứng sau.

Đổi các token giả đó qua kênh chính thống sau đó đã rút cạn tài sản ký quỹ của bảy loại tài sản được wrap. Đây không phải là lỗi mới, và công ty này báo cáo rằng cùng logic này đã nằm trong mã từ năm 2023 và vẫn tồn tại sau đợt di trú tháng 3/2026. Secret bổ sung rằng không có cuộc kiểm toán bên ngoài nào được yêu cầu khi cầu nối lần đầu được xây dựng.

Các cầu nối xuyên chuỗi vẫn đầy rủi ro

Số tiền bị đánh cắp được chuyển qua Osmosis, hoán đổi sang Ether (ETH) trên một sàn phi tập trung, rồi bị phân tán qua hàng chục ví mới trước khi cuối cùng chảy đến ba sàn giao dịch tập trung. Phản ứng thị trường rộng hơn khá trầm lắng, với token của Axelar giảm khoảng 2,2% trong ngày và Secret gần như đi ngang.

Dù vậy, khoản lỗ này vẫn kéo dài một năm tồi tệ cho hạ tầng xuyên chuỗi. Các cầu nối xây dựng trên mô hình khóa-và-đúc tương tự vẫn là bề mặt bị khai thác nhiều nhất trong crypto, với các lỗi tương đồng đã gây thiệt hại hơn 340 triệu đô trên toàn ngành trong năm 2026. Con số này bao gồm vụ vi phạm 25 triệu đô tại Resolv, khoản lỗ 11 triệu đô ở Verus và cú đánh 4 triệu đô vào IoTeX.

Đọc tiếp: Bot JaredFromSubway mất 7,5 triệu đô sau khi tự mắc bẫy của chính mình

Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Thông tin được cung cấp trong bài viết này chỉ dành cho mục đích giáo dục và thông tin, dựa trên ý kiến của tác giả. Nó không cấu thành lời khuyên tài chính, đầu tư, pháp lý hoặc thuế. Tài sản tiền mã hóa có tính biến động cao và chịu rủi ro cao, bao gồm rủi ro mất tất cả hoặc một phần lớn khoản đầu tư của bạn. Giao dịch hoặc nắm giữ tài sản crypto có thể không phù hợp với tất cả nhà đầu tư. Những quan điểm được bày tỏ trong bài viết này hoàn toàn là của (các) tác giả và không đại diện cho chính sách chính thức hoặc lập trường của Yellow, những người sáng lập hoặc giám đốc điều hành. Luôn tiến hành nghiên cứu kỹ lưỡng của riêng bạn (D.Y.O.R.) và tham khảo ý kiến chuyên gia tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
Tin Tức Liên Quan
Cầu nối Verus–Ethereum bị rút sạch 11 triệu USD trong cuộc tấn công cross-chain mới
May 18, 2026
Cầu nối Verus–Ethereum bị hack, kẻ tấn công rút tBTC, ETH và USDC rồi đổi lấy hơn 11 triệu USD, làm nổi bật rủi ro bảo mật của cầu cross-chain.
Alephium nói lỗ hổng off-chain, không phải khóa bị đánh cắp, đã mở đường cho vụ tấn công 815.000 đô la
Tấn công TokenBridge Alephium làm thất thoát 815.000 đô; do lỗi backend off-chain, không phải khóa guardian bị đánh cắp; dự án hứa bồi thường người dùng.
Aztec Connect mất 2,1 triệu đô la trong vụ khai thác hợp đồng “zombie” bị đóng băng suốt 3 năm
Jun 15, 2026
Aztec Connect bị rút khoảng 2,19 triệu đô la do lỗ hổng xác minh bằng chứng trong hợp đồng đã ngừng hoạt động ba năm, cho thấy rủi ro từ “zombie contract”.
SwapNet mất 13,43 triệu đô la trong vụ khai thác hợp đồng thông minh
Jan 26, 2026
SwapNet bị khai thác hợp đồng router, mất 13,43 triệu đô; lỗ hổng nhắm vào người dùng tắt One-Time Approvals, làm lộ quyền truy cập token thường trực.
Hacker Verus Bridge trả lại 8,5 triệu đô trong thỏa thuận tiền thưởng đã đàm phán
May 22, 2026
Hacker Verus trả lại 4.052 ETH (~8,5 triệu đô), giữ 1.350 ETH như tiền thưởng. Động thái này dấy lên tranh luận về việc “thưởng cho hacker” trong DeFi.
Bài viết nghiên cứu liên quan
Những Vụ Tấn Công Crypto Lớn Nhất 2025–2026: Thực Sự Đã Sai Ở Đâu
Phân tích 10 vụ hack crypto lớn nhất 2025–đầu 2026, số tiền thiệt hại kỷ lục và điểm yếu chung về tập trung niềm tin, không chỉ là lỗi mã.
Các cầu nối cross-chain liên tục bị hút cạn, vậy tại sao mọi người vẫn dùng chúng?
Phân tích vì sao cầu nối cross-chain vẫn cực kỳ dễ bị tấn công dù thiệt hại lớn, và các thiết kế mới như cầu ZK đang được phát triển.
Claude Mythos và Crypto: Mối đe dọa AI mới có ý nghĩa gì với giao dịch
Claude Mythos tìm ra hàng nghìn lỗ hổng zero-day, đe dọa tăng tốc tấn công vào sàn crypto và DeFi, đẩy nhanh nhu cầu phòng thủ bằng AI.
Khủng hoảng bảo mật Web3 năm 2026: Vì sao các vụ hack lớn nhất không còn chỉ là lỗi smart contract
Hacker nhà nước, lỗi vận hành và hạ tầng đang gây thiệt hại lớn hơn lỗi smart contract, kéo theo làn sóng tư duy mới về bảo mật Web3.
10 điều hầu hết startup crypto nhận ra quá muộn
10 bài học đắt giá về phân phối, token, thanh khoản, bảo mật và niềm tin mà đa số startup crypto chỉ hiểu ra sau khi đã trả giá nặng nề.
Bài viết học tập liên quan
7 dấu hiệu cảnh báo lừa đảo crypto mà ngành công nghiệp lừa 17 tỷ đô hy vọng bạn bỏ qua
Mar 16, 2026
7 kiểu lừa đảo crypto lớn nhất 2026, cách chúng vận hành và dấu hiệu cảnh báo sớm bạn có thể nhận ra trước khi mất tiền.
10 điều quan trọng cần biết trước khi giao dịch trên DEX
Hướng dẫn ngắn gọn 10 cơ chế quan trọng giúp giao dịch DEX an toàn, hạn chế rủi ro MEV, token giả, cấp quyền vô hạn và các tấn công phổ biến.
Top 10 ví DeFi tốt nhất cho giao dịch an toàn năm 2026
So sánh ví DeFi phần cứng và phần mềm hàng đầu về bảo mật, đa chuỗi và phí hoán đổi năm 2026.
Bảo Vệ Tài Khoản Trao Đổi Tiền Điện Tử Của Bạn: Chiến Lược An Ninh Nâng Cao Được Giải Thích
Tấn công kỹ thuật xã hội khai thác lỗ hổng nhận thức, tạo kịch bản đe dọa tâm lý để chiếm đoạt tài sản trong không gian tiền điện tử.
Hướng Dẫn Người Mới Về Cho Vay DeFi: Từng Bước Kiếm Thu Nhập Thụ Động Với Tiền Mã Hóa
Apr 04, 2026
Hướng dẫn cho người mới về cho vay DeFi, cách kiếm lãi với Aave, Compound và các nền tảng khác, kèm rủi ro, chiến lược và từng bước thực hiện.
Vụ trộm 4,67 triệu đô từ cầu nối Secret Network bắt đầu chỉ vì thiếu một bước kiểm tra | Yellow.com