Hợp đồng Fusion bị tấn công bởi hacker, 267.000 USD bị chuyển vào Tornado Cash, an ninh DeFi lại một lần nữa cảnh báo

Theo tin tức mới nhất, CertiK Alert đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong hợp đồng Fusion PlasmaVault vào ngày 7 tháng 1. Hacker đã thực hiện một thao tác rút tiền, thông qua hợp đồng “fuse” đã cấu hình để chuyển toàn bộ số tiền (khoảng 267.000 USD) đến địa chỉ EOA 0x9b1b, sau đó chuyển qua chuỗi chéo vào Ethereum và gửi vào Tornado Cash để trộn tiền. Sự kiện này một lần nữa phơi bày rủi ro về an ninh trong giai đoạn cấu hình hợp đồng của các giao thức DeFi.

Chi tiết sự kiện: Chuỗi toàn diện từ cấu hình đến ẩn danh

Phân tích quy trình tấn công

Điểm cốt lõi của cuộc tấn công này là lợi dụng khoảng thời gian:

• Hacker thực hiện lệnh rút tiền trong vài giây sau khi hoàn tất cấu hình hợp đồng “fuse”
• Tận dụng lỗ hổng logic trong giai đoạn cấu hình hợp đồng để vượt qua cơ chế quản lý vốn bình thường
• Chuyển toàn bộ số tiền một lần đến địa chỉ EOA 0x9b1b
• Qua cầu chuỗi chéo chuyển sang Ethereum, cuối cùng vào Tornado Cash

Điều then chốt của quá trình này là lỗ hổng trong cửa sổ cấu hình. Thông thường, các hợp đồng DeFi trong giai đoạn khởi tạo hoặc cấu hình sẽ thiếu kiểm tra quyền hạn, và hacker đã tận dụng chính khoảng thời gian này để thực hiện chuyển tiền.

Tại sao chọn Tornado Cash

Việc tiền vào Tornado Cash không phải là ngẫu nhiên, phản ánh rõ ý định của hacker:

• Ẩn nguồn gốc và hướng đi của tiền: Tornado Cash phá vỡ khả năng theo dõi dòng tiền trên chuỗi nhờ cơ chế trộn
• Tránh bị phong tỏa tài sản: Sau khi vào trộn, tiền khó bị theo dõi và phong tỏa
• Chuẩn bị cho việc ẩn danh lâu dài: Đây không phải là rút tiền nhanh, mà nhằm mục đích giữ bí mật lâu dài

Lựa chọn này cho thấy hacker có hiểu biết sâu sắc về hệ sinh thái DeFi và các công cụ bảo mật riêng tư.

Tín hiệu xu hướng an ninh lớn hơn

Điều này không phải là sự kiện đơn lẻ. Theo dữ liệu giám sát mới nhất, các sự cố an ninh DeFi xảy ra thường xuyên:

Hai sự kiện này đều phản ánh cùng một vấn đề: Kiểm soát quyền hạn trong giai đoạn khởi tạo và cấu hình hợp đồng DeFi vẫn còn yếu.

Tại sao các lỗ hổng này vẫn tồn tại

• Nhanh chóng ra mắt dẫn đến kiểm tra cấu hình không đầy đủ
• Nhóm phát triển chưa xem xét kỹ các điều kiện biên
• Ngay cả sau kiểm toán, cũng khó bao phủ tất cả các trường hợp
• Hacker ngày càng tinh vi trong việc tận dụng khoảng thời gian này

Những bài học cho người dùng và dự án

Nhắc nhở các dự án

• Cần sử dụng đa chữ ký hoặc cơ chế khóa thời gian trong giai đoạn cấu hình
• Sau khi khởi tạo, nên có giai đoạn chờ đợi trước khi hoạt động chính thức
• Quản lý quyền hạn cần phân tầng, không để một hợp đồng kiểm soát toàn bộ vốn

Khuyến nghị cho người dùng

• Thận trọng khi tham gia các dự án mới, chờ đợi một thời gian để quan sát
• Theo dõi các cảnh báo giám sát của CertiK và các tổ chức an ninh khác
• Không để số tiền lớn vào một hợp đồng duy nhất trong lần đầu
• Thường xuyên kiểm tra quyền ủy quyền ví, kịp thời thu hồi các quyền không cần thiết

Tóm lại

Sự kiện Fusion không chỉ gây thiệt hại 267.000 USD, mà còn phơi bày lỗ hổng hệ thống. Hacker đã khai thác từ cửa sổ cấu hình, chuyển chuỗi chéo, cuối cùng vào trộn tiền, cho thấy các cuộc tấn công vào DeFi đã trở thành một quy trình chín chắn.

Điều này cũng nhắc nhở toàn bộ hệ sinh thái: Kiểm toán và giám sát dù quan trọng, nhưng không phải là tất cả. An toàn thực sự đòi hỏi dự án phải tính toán kỹ ngay từ giai đoạn thiết kế, người dùng cũng cần cảnh giác. Trong khi lợi nhuận từ DeFi hấp dẫn, quản lý rủi ro luôn là ưu tiên hàng đầu.