Ngành công nghiệp tiền mã hóa vừa nhận được một lời nhắc nhở khác rằng ngay cả những ứng dụng phi tập trung nhất vẫn phụ thuộc vào các thành phần tập trung — và những điểm yếu đó có thể bị khai thác.
- Cuộc tấn công vào Aerodrome và Velodrome nhắm vào tên miền web của họ, không phải Hợp đồng thông minh hoặc tiền của người dùng.
- Cả hai sàn giao dịch đều chuyển hướng người dùng đến giao diện phi tập trung sau khi tên miền tập trung của họ bị xâm phạm.
- Sự cố này nhấn mạnh rằng các nền tảng Web3 vẫn dễ bị tổn thương khi cơ sở hạ tầng Web2 — như DNS — bị khai thác.
Vào sáng thứ Bảy, hai trong số các Sàn giao dịch phi tập trung lớn nhất trong hệ sinh thái Optimism Superchain, Aerodrome trên Base và Velodrome trên Optimism, phát hiện mình đang đối mặt với một mối đe dọa không nhắm vào Hợp đồng thông minh hoặc tính thanh khoản của họ, mà là thứ đơn giản hơn nhiều: trang web của họ.
Điểm yếu Web2 trong thế giới Web3
Sự gián đoạn không phát sinh từ các lỗ hổng on-chain. Các nhóm thanh khoản, hợp đồng staking và tiền của người dùng vẫn hoàn toàn an toàn. Thay vào đó, những kẻ tấn công đã kiểm soát lớp Hệ thống Tên miền, chuyển hướng khách truy cập từ các trang web thực đến giao diện giả mạo được thiết kế để lừa người dùng.
Bất kỳ ai nhập đúng URL vẫn có thể đến trang đích độc hại — một khai thác Web2 cổ điển bao quanh dịch vụ Web3.
Để tránh người dùng tiếp xúc với giao diện độc hại, cả hai nhóm đều hướng dẫn các nhà giao dịch truy cập DEX thông qua các bản sao phi tập trung và các lựa chọn an toàn cho trình duyệt thay vì tên miền chính thức.
Vụ Chiếm đoạt địa chỉ diễn ra ngắn ngủi — Nhưng không phải không có hậu quả
Đến chiều thứ Bảy, giao diện giả mạo đã ngừng tải. Velodrome đã liên hệ công khai với nhà cung cấp tên miền của mình, My.box, trước khi xóa yêu cầu. Cả hai nhóm đều không đưa ra bình luận bổ sung vào thời điểm xuất bản.
Các cuộc điều tra vẫn đang tiếp tục, và vẫn chưa có xác nhận liệu kẻ tấn công chịu trách nhiệm cho sự cố cuối tuần có phải là cùng một loại tác nhân đe dọa từ một sự kiện tương tự vào tháng 11 năm 2023, khi một vụ xâm phạm DNS gây thiệt hại hơn 100,000 đô la, theo người theo dõi blockchain ZachXBT.
Kỷ nguyên mới, bề mặt tấn công cũ
Mặc dù thống trị thị trường Vay và Cho vay của Optimism Superchain, cả hai nền tảng vẫn phụ thuộc vào cơ sở hạ tầng Web2 — một mâu thuẫn cốt lõi của nền kinh tế phi tập trung hiện tại. Hợp đồng thông minh có thể không thể xâm phạm, nhưng nếu điểm vào của chúng có thể bị chuyển hướng, kẻ tấn công không cần phải chạm vào blockchain chút nào.
Bối cảnh hợp nhất
Cuộc tấn công xảy ra vào thời điểm quan trọng. Dromos Labs, đội ngũ đứng sau Velodrome, đã chuẩn bị hợp nhất hai DEX lớn thành một thực thể duy nhất có tên là Aero.
Dự kiến ra mắt vào quý 2 năm 2026, Aero sẽ hợp nhất cả hai nền tảng và token của họ thành một token AERO duy nhất, được thiết kế để đại diện cho toàn bộ sản lượng của sàn giao dịch thống nhất. Quá trình chuyển đổi này dự kiến sẽ giảm Phân mảnh ngoài chuỗi và tăng tính thanh khoản — và bây giờ, có thể, để yêu cầu tăng cường bảo mật tên miền và truy cập.
Lớn hơn một vụ hack cuối tuần
Cả Aerodrome và Velodrome đều không mất tiền. Bảo mật hợp đồng vẫn được duy trì. Nhưng sự kiện này cho thấy cơ sở hạ tầng trang web tập trung vẫn là một trong những vectơ tấn công hiệu quả nhất chống lại các giao thức phi tập trung.
Đối với người dùng, bài học có thể không thoải mái nhưng cần thiết: ngay cả trong Web3, con đường an toàn nhất đến DeFi không phải lúc nào cũng là con đường thuận tiện nhất.
Thông tin được cung cấp trong bài viết này chỉ nhằm mục đích giáo dục và không cấu thành lời khuyên tài chính, đầu tư hoặc giao dịch. Coindoo.com không xác nhận hoặc khuyến nghị bất kỳ chiến lược đầu tư cụ thể hoặc tiền mã hóa nào. Luôn tiến hành nghiên cứu của riêng bạn và tham khảo ý kiến của cố vấn tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
AuthorCác câu chuyện liên quan
Bài viết tiếp theo
Nguồn: https://coindoo.com/dns-attack-knocks-top-dex-protocols-offline-smart-contracts-remain-secure/
