Lỗ hổng SwapNet làm nổi bật rủi ro hợp đồng thông minh khi trộm cắp tiền điện tử vượt mốc 3,41 tỷ USD, chủ yếu do các hoạt động cross-chain và các khoản phê duyệt yếu.
Trình tổng hợp sàn giao dịch phi tập trung Matcha Meta đã báo cáo một sự cố an ninh liên quan đến tích hợp SwapNet của mình. Theo nhiều nhà theo dõi onchain, các tác nhân độc hại đã rút ra khoảng 16,8 triệu USD tiền điện tử sau một cuộc tấn công nhắm vào điểm yếu của hợp đồng thông minh nền tảng này.
Lỗ Hổng Tích Hợp SwapNet Gây Ra Sự Cố An Ninh tại Matcha Meta
Trong thông báo ngày thứ Hai, Matcha Meta giải thích rằng họ là nạn nhân của một vụ vi phạm an ninh vào ngày hôm trước. Theo nội dung trong báo cáo, các kẻ tấn công đã chuyển các tài sản kỹ thuật số từ một trình tổng hợp bên ngoài liên kết với giao diện của Matcha Meta, SwapNet.
Sau khi xem xét cùng nhóm giao thức của 0x, chúng tôi xác nhận rằng bản chất của sự cố không liên quan đến các hợp đồng AllowanceHolder hoặc Settler của 0x.
Người dùng đã tương tác với Matcha Meta qua Phê duyệt Một lần (One-Time Approval) do đó an toàn.
Người dùng đã vô hiệu hóa Phê duyệt Một lần… https://t.co/VQVmj4LL0F
— Matcha Meta 🎆 (@matchametaxyz) 25 tháng 1, 2026
Nền tảng tiết lộ rằng họ đã phát hiện các chuyển động đáng ngờ sau khi nhận thấy các giao dịch chuyển khoản lớn, không được phép từ hợp đồng router của SwapNet. Trong tuyên bố, MM xác nhận đã liên hệ với nhóm SwapNet để tạm thời vô hiệu hóa các hợp đồng của họ.
Theo các báo cáo từ công ty an ninh blockchain PeckShield, thiệt hại từ vụ vi phạm ước tính khoảng 16,8 triệu USD. Phân tích cho thấy kẻ tấn công đã đổi khoảng 10,5 triệu USD USDC trên Base lấy khoảng 3.655 ETH. Sau đó, các khoản tiền này đã được chuyển qua cầu sang Ethereum.
Trong khi đó, CertiK trước đó ước tính thiệt hại gần 13,3 triệu USD USDC trên Base. CertiK liên kết vụ tấn công với lỗ hổng “gọi tùy ý” trong hợp đồng SwapNet, cho phép các khoản đã được phê duyệt trước đó được chuyển đến hợp đồng.
Matcha Meta chưa xác nhận liệu các khoản tiền của người dùng có bị mất hoàn toàn hay không. Một tuyên bố ban đầu cho biết mức độ rủi ro chỉ giới hạn ở những người dùng đã vô hiệu hóa Phê duyệt Một lần và thay vào đó thiết lập các khoản phê duyệt trực tiếp trên các hợp đồng trình tổng hợp cụ thể. Giao thức cũng cho biết các tài khoản sử dụng Phê duyệt Một lần không bị ảnh hưởng.
Tuy nhiên, sau khi xem xét cùng nhóm giao thức tại 0x, Matcha Meta đã làm rõ rằng vấn đề không liên quan đến các hợp đồng AllowanceHolder hoặc Settler của 0x.
Nhóm đã làm rõ rằng người dùng vô hiệu hóa Phê duyệt Một lần và dựa vào các khoản phê duyệt trực tiếp sẽ phải đối mặt với rủi ro bổ sung liên quan đến từng trình tổng hợp. Matcha Meta đã thêm rằng họ đã loại bỏ tùy chọn thiết lập các khoản phê duyệt trực tiếp trên các trình tổng hợp để ngăn chặn các sự cố tương tự.
Lỗ Hổng Hợp Đồng Thông Minh và Rửa Tiền Cross-Chain Thúc Đẩy Các Cuộc Tấn Công Tiền Điện Tử Gia Tăng
Với sự phát triển ngày càng lớn của thị trường tiền điện tử, các vụ vi phạm an ninh tiếp tục gây áp lực lên các dự án và nền tảng trong ngành. Theo Chainalysis, trộm cắp liên quan đến tiền điện tử đã vượt quá 3,41 tỷ USD vào năm 2025, cao hơn một chút so với năm trước.
Phần lớn hoạt động phi pháp liên quan đến việc di chuyển nhanh các tài sản qua các chuỗi và các dịch vụ được thiết kế để che giấu dấu vết giao dịch.
Thú vị thay, nghiên cứu của Elliptic cho thấy nhiều hoạt động rửa tiền hiện nay dựa vào các dịch vụ đổi coin. Các dịch vụ này thường hoạt động qua các trang web độc lập hoặc kênh Telegram, cho phép các kẻ tấn công nhanh chóng chuyển các khoản bị đánh cắp.
Các rủi ro tương tự đã xuất hiện vào năm ngoái khi trình tổng hợp sàn giao dịch phi tập trung CoWSwap báo cáo một vụ vi phạm. Trong cuộc tấn công onchain, khoảng 180.000 USD DAI đã bị rút qua hợp đồng thông minh GPv2Settlement.
Như các nhà theo dõi thị trường nhận thấy, các lỗ hổng hợp đồng thông minh vẫn là nguyên nhân hàng đầu gây ra các khoản lỗ. SlowMist báo cáo rằng các lỗ hổng hợp đồng chiếm hơn 30% các vụ khai thác tiền điện tử trong năm 2025.
_Nguồn hình ảnh: _SlowMist
Ngoài ra, các chuyên gia còn chỉ ra rằng sự tiến bộ của công nghệ AI là một yếu tố khác thúc đẩy hoạt động khai thác lỗ hổng. Trí tuệ nhân tạo giúp phát hiện các lỗ hổng và khai thác tích cực.
Một vụ hack trị giá 1,5 tỷ USD của Bybit đã chiếm 44% tổng thiệt hại trong năm qua. Trong khi đó, các nhóm liên kết với Triều Tiên đã đánh cắp kỷ lục 2,02 tỷ USD.
Kể từ đầu năm, các nền tảng tập trung vào tiền điện tử đã chứng kiến sự gia tăng các cuộc tấn công. Giao thức DeFi Makina Finance đã mất khoảng 4,13 triệu USD sau khi hacker rút sạch pool DUSD/USDC của họ trên Curve. Ngay sau đó, mạng Layer-1 Saga đã tạm dừng chuỗi SagaEVM sau một vụ khai thác chuyển gần 7 triệu USD tài sản sang Ethereum.
Hình ảnh của Clint Patterson từ Unsplash
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
