Lỗ hổng xác thực nhỏ khiến Aztec Network mất 2,19 triệu USD?
Hợp đồng Router của Aztec Network được nhắc tới sau một giao dịch đáng ngờ trên Ethereum, khiến tài sản trị giá khoảng 2,19 triệu USD bị thất thoát.
Sự việc làm nổi bật rủi ro trong khâu xác thực dữ liệu của smart contract, đặc biệt khi phần được kiểm tra không trùng với phần thực sự được xử lý để chuyển tài sản.
- Ví 0x0f18….edd17 đã dùng tiền từ Router contract của Aztec Network để thực hiện giao dịch.
- CertiK cho rằng lỗi có thể nằm ở bước xác thực _proofData, khi hàm computeRootHashes() chỉ kiểm tra phần đầu dữ liệu.
- Nhiều sự cố an ninh khác trên DeFi cũng được ghi nhận, trong khi tổng giá trị bị tấn công trong 30 ngày đã lên 81,73 triệu USD.
Giao dịch đáng ngờ trên Router contract của Aztec Network
Router contract của Aztec Network đã bị gắn với một giao dịch đáng ngờ trên Ethereum và dẫn tới thiệt hại khoảng 2,19 triệu USD.
Ví 0x0f18….edd17 được cho là đã sử dụng tiền từ hợp đồng này để thực hiện giao dịch. Hiện chưa rõ toàn bộ cơ chế khai thác diễn ra như thế nào, nhưng dấu hiệu ban đầu cho thấy tài sản đã bị chuyển ra ngoài mà không có ủy quyền hợp lệ.
The attack was suspicious
Lỗ hổng có thể nằm ở bước xác thực dữ liệu
CertiK cho rằng vấn đề có thể xuất phát từ quy trình xác thực smart contract, khi phần kiểm tra của smart contract validation dường như không bao quát toàn bộ dữ liệu đầu vào.
Cụ thể, hàm computeRootHashes() được cho là chỉ kiểm tra phần đầu của _proofData, trong khi phần giữa của cùng payload lại được processDepositsAndWithdrawals() dùng để thực hiện chuyển token.
Nếu cách xử lý này là đúng, kẻ tấn công có thể đã đưa các lệnh nạp hoặc rút bị chỉnh sửa vào phần chưa được xác thực, còn phần được kiểm tra vẫn hợp lệ để vượt qua các bước an ninh của giao thức.
Kết quả là hợp đồng có thể đã thực hiện các chuyển token không được ủy quyền, do dữ liệu được xác minh không khớp với dữ liệu thực sự được thi hành.
Nhiều sự cố bảo mật DeFi khác cũng xảy ra
Aztec Network không phải trường hợp đơn lẻ, khi hàng loạt sự cố bảo mật khác trong DeFi cũng được ghi nhận gần đây.
Raydium đã phát hiện lỗi mã trong chương trình AMM V3 cũ khiến 1,34 triệu USD tài sản số bị đánh cắp từ năm pool. Một vụ tấn công quản trị khác cũng khiến khoảng 1,5 triệu USD Ethereum bị rút khỏi một pool thanh khoản của Balancer.
Ethereum’s Alephium TokenBridge mới đây cũng bị khai thác, với 815.000 USD bị rút trong bảy phút bằng ba trong bốn khóa guardian bị xâm phạm để ký các VAA giả mạo. Ngoài ra, một cuộc điều tra độc lập của Quantstamp cho biết vụ phishing nhắm vào một giám đốc của Humanity Protocol có liên quan đến việc kẻ tấn công giành được thông tin quản trị, nâng cấp hợp đồng, chuyển token Ethereum và tạo H token mới trên BNB Chain.
Theo dữ liệu DeFiLlama, tổng giá trị bị tấn công trong 30 ngày đã lên 81,73 triệu USD. Tính riêng năm 2026, số tiền thất thoát là 634,85 triệu USD, và tháng 4 đang là giai đoạn ghi nhận giá trị bị rút cao nhất.
Nguồn: DeFiLlama
Tổng kết
Vụ việc tại Aztec Network cho thấy rủi ro vẫn có thể nằm ở chi tiết rất nhỏ trong quy trình xác thực smart contract, đặc biệt khi phần được kiểm tra không bao phủ toàn bộ dữ liệu được dùng để thực thi.
Você também pode gostar
O Citation Group adquire a PayCaptain para adicionar software e serviços avançados de processamento de salários à sua plataforma de conformidade líder de mercado
Telegram phản ứng lệnh cấm của Ấn Độ, ảnh hưởng 150 triệu người dùng trong 1 tuần
Bittensor điều chỉnh sau cú tăng 27%: Đảo chiều giảm hay tích lũy TAO?
