Người dùng mất 1,08 triệu đô la trong Aave Ethereum LBTC do chữ ký độc hại
Trong một vụ vi phạm bảo mật nghiêm trọng vào ngày 2 tháng 1 năm 2026, một nhà đầu tư tiền điện tử đã mất 1,08 triệu đô la sau khi trở thành nạn nhân của một cuộc tấn công lừa đảo liên quan đến Aave Ethereum LBTC (Lombard Staked Bitcoin). Vụ trộm xảy ra khi người dùng không biết đã ký một chữ ký cho phép độc hại trên một trang web giả mạo hoàn hảo mô phỏng giao diện của Lombard Finance hoặc Aave. Bằng cách cung cấp chữ ký ngoài chuỗi này, nạn nhân đã cấp cho một hợp đồng "drainer" quyền truy cập đầy đủ để rút các khoản nắm giữ LBTC của họ, mà kẻ tấn công sau đó đã ngay lập tức thanh lý và di chuyển thông qua các máy trộn phi tập trung. Sự cố này làm nổi bật sự tinh vi ngày càng tăng của các trò lừa đảo "dựa trên chữ ký", nơi người dùng bị đánh lừa để ủy quyền chuyển tiền mà không bao giờ tiết lộ khóa riêng tư hoặc cụm từ hạt giống của họ.
Những điểm chính rút ra từ sự cố
Tài sản: Nạn nhân đã nắm giữ LBTC, một mã thông báo staking thanh khoản cho Bitcoin đã chứng kiến sự tăng trưởng mạnh mẽ về TVL (Giá trị tổng bị khóa) trên Aave kể từ cuối năm 2025.
Phương pháp: Kẻ tấn công đã sử dụng chữ ký EIP-712, thường xuất hiện dưới dạng các hộp văn bản "không gây hại" trong một ví như MetaMask, khiến chúng khó nhận diện hơn cho người dùng trung bình như là các phê duyệt có rủi ro cao.
Tốc độ: Khi chữ ký được ghi lại, việc rút tiền được tự động hóa; 1,08 triệu đô la đã biến mất trong một khối giao dịch duy nhất.
