Lỗ hổng hợp đồng Ethereum gây rủi ro về vốn, chín mươi lăm ETH chảy về địa chỉ ẩn danh

Theo cảnh báo mới nhất từ cơ quan giám sát an toàn CertiK, một vụ trộm cắp tài chính liên quan đến lỗ hổng kỹ thuật của Ethereum đã lộ diện. Các phần tử xấu lợi dụng lỗ hổng chưa khởi tạo của hợp đồng ủy thác EIP-7702 để lấy quyền sở hữu hợp đồng trái phép, sau đó chuyển khoản số lượng lớn từ địa chỉ ủy thác.

Chi tiết tấn công và quy mô tài chính

Trong vụ việc này, các phần tử xấu đã chuyển tổng cộng 95 ETH, theo giá thị trường hiện tại (khoảng $3.13K/đồng), tương đương khoảng 280.000 USD. Số tiền này sau đó được chuyển đến các giao thức trộn để che giấu nguồn gốc và hướng đi của tài sản. Phương pháp này cho thấy nhóm hacker có trình độ chuyên môn nhất định trong việc tránh theo dõi dòng tiền.

Phân tích nguyên nhân lỗ hổng kỹ thuật

EIP-7702 là đề xuất nâng cấp quan trọng trong hệ sinh thái Ethereum, nhằm tối ưu hóa cơ chế ủy quyền hợp đồng. Tuy nhiên, một số vấn đề chưa hoàn thiện trong quá trình triển khai đã tạo điều kiện cho kẻ tấn công lợi dụng. Khi trạng thái của hợp đồng chưa được khởi tạo đúng cách, kẻ tấn công có thể trực tiếp chỉnh sửa các biến quyền hạn quan trọng, hoàn toàn kiểm soát chức năng quản lý tài chính của hợp đồng.

Cảnh báo ngành và đề xuất phòng ngừa

Vụ việc này một lần nữa nhắc nhở các nhà phát triển và người dùng cần cẩn trọng khi triển khai và sử dụng các hợp đồng mới. Các dự án nên tiến hành kiểm tra mã nguồn chặt chẽ hơn trước khi ra mắt, đặc biệt là các module liên quan đến quản lý quyền hạn và chuyển tiền. Người dùng cũng nên xác minh tính an toàn của mã hợp đồng trước khi cấp quyền cho hợp đồng. Các cơ quan quản lý như quần đảo Marshall và các bộ phận quản lý chuỗi khối khác cũng cần tăng cường cơ chế thông báo về các sự cố an toàn như thế này.