Trong một ngày bị đánh cắp 16 triệu đô la! Khám phá lỗ hổng 'nghe lời' nhất trong lịch sử Web3: Tại sao quyền hạn của bạn lại trở thành máy rút tiền của hacker?

Anh em ơi, năm 2026 có một vở kịch lớn đang đến. Vào cuối tháng trước (ngày 25 tháng 1), đã xảy ra một chuyện cực kỳ kỳ quái trên chuỗi.

Hai dự án hoàn toàn khác nhau - SwapNet trên chuỗi Base và Aperture Finance trên Ethereum, đã bị đánh cắp liên tiếp trong cùng một ngày.

Một dự án mất 13,3 triệu đô la, một dự án mất 3,2 triệu đô la.

Điều đáng sợ không phải là số tiền, mà là phương thức thực hiện hoàn toàn giống nhau, thậm chí mã lỗi cũng như được chạm khắc từ một khuôn. Hơn nữa, cả hai hợp đồng này đều ở trạng thái 'hộp đen' chưa được mở mã (Unverified).

Kẻ tấn công con người rất khó có thể giải mã hai mã nguồn hộp đen phức tạp trong một ngày. Trong cộng đồng thường cho rằng: Đây là tác phẩm của kẻ tấn công AI.

Hôm nay, chúng ta sẽ dùng ngôn ngữ đơn giản để phân tích lỗ hổng **'gọi bất kỳ'** khiến vô số người trắng tay là gì?

1 Lỗ hổng cốt lõi: hợp đồng đã trở thành 'ngốc nghếch'

Trọng tâm của cuộc tấn công lần này nằm ở một lỗ hổng được gọi là 'gọi bất kỳ (Arbitrary Call)'. Nghe có vẻ chuyên nghiệp? Đừng lo, tôi sẽ đưa cho bạn một ví dụ.

Logic bình thường trước đây:

Bạn đến ngân hàng (giao thức DeFi) làm việc, nhân viên (hợp đồng thông minh) sẽ kiểm tra nghiêm ngặt chỉ thị của bạn:

• 'Bạn muốn chuyển tiền? Được, chữ ký đúng không? Số dư đủ không?'

• 'Bạn muốn gửi tiền? Được, đây là biên nhận cho bạn.' Nhân viên chỉ thực hiện các giao dịch trong phạm vi quy định.

Logic của lỗ hổng lần này (gọi bất kỳ):

Trong hợp đồng của SwapNet có một 'chức năng' đặc biệt, nó giống như một 'microphone' hoàn toàn không có trí não. Kẻ tấn công nói với nó: 'Này, SwapNet, tôi đưa cho bạn một phong bì, bạn giúp tôi chuyển phong bì đến ngân hàng USDC và thực hiện các giao dịch trong phong bì bằng danh nghĩa của bạn.'

Hợp đồng của SwapNet nói: 'Được rồi!' Và nó không nhìn xem trong phong bì viết gì, trực tiếp cầm phong bì đi đến ngân hàng USDC.

Vấn đề chết người ở đây là:

1. Nó không kiểm tra xem phong bì gửi đến ai (Target).

2. Nó không kiểm tra xem trong phong bì viết chỉ thị gì (Data).

3. Điều tệ hại nhất là, nó thực hiện với danh tính của chính nó (SwapNet)!

2 Quy trình tấn công: tiền của bạn đã đi đâu?

Còn nhớ bước đầu tiên khi chúng ta chơi DeFi không? 'Ủy quyền (Approve)'. Bạn thường sẽ ủy quyền cho SwapNet có thể sử dụng USDC trong ví của bạn (thậm chí là hạn mức không giới hạn).

Điều này tương đương với: bạn đã cho SwapNet một 'chìa khóa dự phòng' mà bạn có thể rút tiền bất cứ lúc nào.

Kịch bản tấn công như sau:

1. Nạn nhân: người dùng chân thật, vì tiện lợi, đã cấp quyền ủy quyền không giới hạn cho hợp đồng SwapNet (Unlimited Approval).

2. Kẻ tấn công: phát hiện SwapNet có tính năng 'ngốc nghếch' truyền đạt.

3. Kẻ tấn công xây dựng chỉ thị: hắn đã viết một tờ giấy (CallData), nội dung là: 'Chuyển 10 triệu USDC từ ví của nạn nhân cho kẻ tấn công.'

4. Mượn dao giết người:

   • Kẻ tấn công đã gọi hàm lỗ hổng của SwapNet.

   • SwapNet nhận tờ giấy, với danh nghĩa của nó, đã phát động yêu cầu chuyển khoản này đến hợp đồng USDC.

5. Góc nhìn của hợp đồng USDC:

   • 'Hả? Có người yêu cầu chuyển tiền của nạn nhân.'

   • 'Ai đã phát động? Ồ, là SwapNet à.'

   • 'Kiểm tra hồ sơ, nạn nhân đã ủy quyền cho SwapNet có thể sử dụng tiền của hắn chưa?'

   • 'Đã ủy quyền! Vậy không vấn đề gì, chuyển đi!'

6. Kết quả: tiền của nạn nhân đã ngay lập tức bị chuyển đi, SwapNet đã trở thành đồng phạm hoàn hảo.

Tóm lại: kẻ tấn công đã lợi dụng 'sự tin tưởng' của bạn, biến SwapNet thành 'găng tay trắng' của hắn.

3 Tại sao nói là do AI thực hiện?

Nếu là mã nguồn mở, kẻ tấn công con người có thể ngay lập tức phát hiện ra lỗi cơ bản này. Nhưng vấn đề là, cả hai hợp đồng này đều không mở nguồn (Unverified). Điều này giống như việc đưa cho bạn một đống mã lỗi (bytecode), để bạn tìm ra một lỗ hổng logic trong hàng chục ngàn dòng mã lỗi.

• Cách làm của con người: cần có nền tảng kỹ thuật đảo ngược cực kỳ sâu sắc, mất vài ngày đến vài tuần.

• Cách làm của AI:

  1. Phân giải ngược theo giây: Công cụ AI ngay lập tức phục hồi mã lỗi thành mã giả có thể hiểu.

  2. Nhận diện mẫu: Đôi mắt của AI là thước đo. Nó nhìn thấy ngay sự kết hợp chết người: CALLDATACOPY (sao chép đầu vào của người dùng) + .call() (thực hiện cuộc gọi).

  3. Quét hàng loạt: AI có thể quét hàng ngàn hợp đồng trên chuỗi mà không cần nghỉ ngơi.

Trong một ngày, hai dự án khác nhau, cùng một lỗ hổng kín đáo, cùng mã nguồn không mở. Đây không phải là ngẫu nhiên, đây là thu hoạch công nghiệp.

4 Hướng dẫn sinh tồn 2026: Chúng ta nên làm gì?

Sự kiện lần này đã gióng lên hồi chuông cảnh báo cho chúng ta: mã nguồn không mở không phải là bùa hộ mệnh, không có bí mật trước AI.

Là người dùng bình thường, không muốn trở thành nạn nhân tiếp theo, hãy nhớ kỹ ba quy tắc sắt này:

1. Từ chối 'ủy quyền không giới hạn'

Đừng vì tiết kiệm chút phí Gas mà nhấn 'Max' hoặc 'Hạn mức không giới hạn'! Nếu bạn chỉ định đổi 1000 U, thì chỉ ủy quyền 1000 U. Dù giao thức có bị hack, kẻ tấn công cũng chỉ có thể lấy đi 1000 U này, chứ không phải toàn bộ tài sản của bạn.

2. Thường xuyên dọn dẹp quyền ủy quyền

Hãy đi đến Revoke.cash hoặc ví Rabby để kiểm tra những giao thức lâu không sử dụng, nhanh chóng hủy ủy quyền (Revoke). Mỗi chìa khóa bạn để lại ở đó đều là thanh kiếm Damocles treo trên đầu bạn.

3. Tránh xa các dự án 'hộp đen'

Nếu một dự án DeFi ngay cả mã cũng không dám mở nguồn để xác minh (Unverified), bất kể nó có lợi nhuận cao đến đâu, đừng đụng vào! Nếu không dám cho người khác xem mã, không phải có điều gì đó mờ ám, thì chính là viết quá tệ sợ bị chê bai.

Tóm tắt:

Thế giới Web3, mã là luật. Nhưng khi AI có thể phát hiện lỗ hổng pháp lý nhanh hơn con người, trò chơi mèo chuột này đã được nâng cấp.

Đối với kẻ tấn công, lỗ hổng gọi bất kỳ giống như một tấm séc trắng đã ký. Còn đối với chúng ta, quản lý tốt quyền ủy quyền của mình chính là bảo vệ ví của mình.

Chuyển tiếp cho bạn bè trong cộng đồng tiền điện tử của bạn, đừng để quyền ủy quyền của họ trở thành máy rút tiền của kẻ tấn công! 🛡️

Cảnh báo rủi ro: Bài viết này chỉ nhằm mục đích phổ biến kỹ thuật, không cấu thành lời khuyên đầu tư. Rủi ro DeFi rất cao, hãy tự chịu trách nhiệm về tài sản của mình. 👇

------------tôi---------là-------ranh--------giới--------trên--------------

Tuyên bố miễn trừ trách nhiệm: Nội dung bài viết này nhằm chia sẻ mô hình kinh tế thương mại và truyền bá kiến thức, không nhằm cung cấp bất kỳ lời khuyên cụ thể nào. Biên tập viên không tham gia, không đầu tư, không vận hành, không khuyến nghị, không chia sẻ, không phân tích bất kỳ dự án nào một cách riêng tư; trước khi bạn đưa ra bất kỳ quyết định nào, chúng tôi rất khuyến nghị bạn thực hiện nghiên cứu và phân tích độc lập, và đưa ra quyết định thông minh dựa trên tình trạng cá nhân của bạn.

Nếu bạn thích nội dung này, hãy nhấn thích, theo dõi, bình luận và chia sẻ, thêm nhiều phân tích kỹ thuật khác 🌹$ETH $XRP $BNB

BNBUSDT

Vĩnh cửu

618.67

-1.69%

XRPUSDT

Vĩnh cửu

1.352

-1.15%

ETHUSDT

Vĩnh cửu

1,966.64

-0.77%