Theo công ty bảo mật on-chain PeckShield, đơn vị đầu tiên xác định sự cố, một người dùng giao thức Alchemix đã mất khoảng 1 triệu đô la token sinh lãi sau khi kẻ tấn công khai thác một hợp đồng độc hại đã được phê duyệt trước đó. Cuộc tấn công nhắm vào vị thế yvWETH của người dùng, đóng vai trò như một lời nhắc nhở đắt giá về các rủi ro bảo mật liên quan đến việc phê duyệt token trong tài chính phi tập trung (DeFi).
"Vụ hack có thể thực hiện được vì người dùng đã phê duyệt trước một hợp đồng độc hại (0x143a)", các nhà phân tích của PeckShield cho biết trong một bài đăng trên X. "Hợp đồng này chứa lỗ hổng thực thi cuộc gọi tùy ý, mà kẻ tấn công đã sử dụng để chuyển toàn bộ vị thế của người dùng."
Lỗ hổng không nằm trong bản thân các giao thức Alchemix hay Yearn Finance, mà nằm ở sự tương tác của người dùng với một hợp đồng độc hại riêng biệt. Bằng cách cấp cho hợp đồng đó quyền chi tiêu token của mình, người dùng đã tạo ra một lỗ hổng bảo mật mà kẻ tấn công sau đó đã khai thác để rút tiền. Những vụ khai thác như vậy đã trở thành một chủ đề lặp đi lặp lại trong DeFi, nơi người dùng thường cấp quyền rộng rãi để tương tác với các ứng dụng khác nhau.
Sự cố này nhấn mạnh một thách thức bảo mật quan trọng từ phía người dùng, vượt ra ngoài các cuộc kiểm tra mã của các giao thức lớn. Trong khi phần lớn sự tập trung vào bảo mật tiền điện tử là vào các vụ khai thác ở cấp độ giao thức hoặc các cuộc tấn công vật lý, nguồn tổn thất lớn nhất và nhất quán nhất thường bắt nguồn từ vệ sinh ví và lỗi người dùng, bao gồm lừa đảo và các phê duyệt cũ.
Phê duyệt token vẫn là vấn đề trị giá 700 triệu đô la
Phê duyệt token là một phần cơ bản của DeFi trên các chuỗi như Ethereum, cho phép các hợp đồng thông minh tương tác với tài sản của người dùng cho các hoạt động như hoán đổi, staking hoặc cho vay. Tuy nhiên, nếu phê duyệt không được thu hồi, nó sẽ vẫn hoạt động vô thời hạn, tạo ra một tờ giấy phép vĩnh viễn mà một hợp đồng độc hại hoặc bị xâm nhập có thể sử dụng. Việc ngắt kết nối ví khỏi giao diện người dùng của dApp không thu hồi các quyền on-chain này.
Theo báo cáo năm 2025 từ công ty bảo mật CertiK, các cuộc tấn công lừa đảo—một danh mục bao gồm các phê duyệt độc hại—đã gây ra tổn thất gần 723 triệu đô la. Sự cố Alchemix là một ví dụ trực tiếp về vectơ rủi ro này. Nó làm nổi bật sự cần thiết của việc quản lý ví siêng năng, một thực hành thường bị người dùng bỏ qua khi chỉ tập trung vào yield farming hoặc giao dịch.
Các phương pháp bảo mật tốt nhất đề xuất cách tiếp cận đa ví: một ví để lưu trữ dài hạn hiếm khi tương tác với dApps, một "ví nóng" riêng biệt cho hoạt động hàng ngày và ví thứ ba, ví thử nghiệm cho các ứng dụng mới hoặc không đáng tin cậy. Hơn nữa, người dùng nên thường xuyên sử dụng các công cụ để xem lại và thu hồi bất kỳ phê duyệt nào đang hoạt động cho các hợp đồng mà họ không còn sử dụng.
Điểm mấu chốt
Mức tổn thất 1 triệu đô la liên quan đến Alchemix là một minh chứng rõ ràng về việc các thực hành bảo mật cá nhân cũng quan trọng như bảo mật cấp giao thức. Sự cố này không phải là một vụ hack vào chính Alchemix mà là một cuộc tấn công có mục tiêu vào một người dùng duy nhất đã cấp quyền cho một tác nhân độc hại. Nó củng cố nhu cầu về sự cảnh giác liên tục của người dùng. Trước khi ký bất kỳ giao dịch nào, người dùng nên xác minh địa chỉ hợp đồng, hiểu các quyền đang được cấp và áp dụng thói quen thu hồi phê duyệt để giảm thiểu bề mặt rủi ro on-chain của họ.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
