Tìm hiểu cách vụ khai thác thanh toán GANA trị giá 3,1 triệu USD đã làm lộ ra các lỗ hổng nghiêm trọng trong hợp đồng thông minh trên BSC. Tìm hiểu chi tiết về cuộc tấn công, các rủi ro bảo mật cũng như biện pháp bảo vệ khoản đầu tư tiền điện tử khỏi các vụ hack DeFi tương tự.
Tổng quan về cuộc tấn công vào GANA Payment
Chuyên gia bảo mật blockchain ZachXBT đã công bố một sự cố bảo mật nghiêm trọng ảnh hưởng tới GANA Payment, dự án tiền điện tử hoạt động trên BNB Smart Chain (BSC). Vụ khai thác này gây thiệt hại hơn 3,1 triệu USD, tiếp tục là một dấu hiệu cảnh báo đối với lĩnh vực an ninh blockchain.
Vụ tấn công cho thấy kẻ xấu trong lĩnh vực tiền điện tử đã áp dụng thủ đoạn cực kỳ tinh vi. Sau khi chiếm đoạt tài sản, kẻ tấn công đã rửa phần lớn số tiền qua Tornado Cash, giao thức bảo mật quyền riêng tư hiện diện trên cả BSC và Ethereum. Khoảng 1 triệu USD tài sản vẫn đang “đóng băng” trên blockchain Ethereum, chờ động thái tiếp theo từ phía thủ phạm.
Theo thông tin chi tiết do ZachXBT chia sẻ trên kênh Telegram, kẻ tấn công đã hợp nhất tài sản bị đánh cắp tại địa chỉ 0x2e8****5c38, rồi gửi 1.140 token BNB (trị giá khoảng 1,04 triệu USD) vào Tornado Cash trên BSC. Đây là một kỹ thuật rửa tiền điển hình mà hacker dùng để xóa dấu vết dòng tiền điện tử bị đánh cắp.
Độ tinh vi của cuộc tấn công tiếp tục thể hiện khi kẻ tấn công chuyển thêm tài sản sang mạng Ethereum. Thông qua thao tác liên chuỗi, thủ phạm đã chuyển tiếp 346,8 ETH trị giá 1,05 triệu USD thông qua Tornado Cash. Tuy nhiên, phân tích blockchain xác nhận hiện vẫn còn 346 ETH “nằm im” tại địa chỉ 0x7a503****b3cca, cho thấy kẻ tấn công có thể đang chờ thời điểm thích hợp để tiếp tục di chuyển tài sản, nhằm tránh bị phát hiện.
Sự cố này tiếp tục nhấn mạnh thách thức mà các dự án blockchain phải đối mặt trong việc duy trì hệ thống bảo mật vững chắc. Việc tận dụng các giao thức quyền riêng tư như Tornado Cash cho thấy hacker đang triệt để khai thác công cụ hợp pháp cho mục đích phi pháp, khiến công tác thu hồi tài sản và điều tra của cơ quan chức năng trở nên phức tạp hơn.
Phân tích kỹ thuật: Thao túng quyền sở hữu hợp đồng thông minh
Công ty bảo mật blockchain HashDit đã nhanh chóng vào cuộc phân tích sau khi phát hiện hoạt động bất thường trên chuỗi. Cuộc điều tra đã xác định điểm yếu mấu chốt dẫn đến vụ việc là việc thao túng trái phép cấu trúc quyền sở hữu hợp đồng của GANA.
Trọng tâm của vụ khai thác là các thay đổi ác ý đối với tham số quyền sở hữu trong hạ tầng hợp đồng thông minh của GANA. Khi chiếm được quyền kiểm soát bất hợp pháp các chức năng này, hacker đã nắm trong tay quyền quản trị cơ chế staking của giao thức. Quyền truy cập nâng cao giúp kẻ tấn công điều chỉnh tỷ lệ phân phối phần thưởng, làm mất tính toàn vẹn của hệ thống staking.
Về mặt kỹ thuật, vụ tấn công gồm nhiều bước tinh vi. Đầu tiên, thủ phạm khai thác lỗ hổng sở hữu để kiểm soát các chức năng hợp đồng then chốt. Sau đó, chúng liên tục kích hoạt chức năng unstake và mỗi lần đều nhận được lượng token GANA vượt xa mức phân phối bình thường. Thao túng cơ chế tính thưởng này giúp hacker tạo ra hoặc rút nhiều token hơn nhiều so với người dùng hợp pháp.
Với lượng token vượt chuẩn, kẻ tấn công đã thực hiện chiến lược xả hàng đồng loạt trên các sàn phi tập trung. Bằng cách bơm ra thị trường số token GANA đánh cắp, chúng đã chuyển đổi sang các đồng tiền điện tử phổ biến hơn và có tính thanh khoản cao như BNB, ETH. Đây là bước quan trọng chuẩn bị cho giai đoạn rửa tiền, khi các đồng tiền lớn cho phép dịch chuyển và che dấu dòng tiền hiệu quả hơn.
Bước cuối cùng là chuyển số tiền đã quy đổi qua Tornado Cash. Dịch vụ trộn này làm mờ vết giao dịch bằng cách phá vỡ liên kết trên chuỗi giữa địa chỉ nguồn và đích, khiến việc truy vết tài sản bị đánh cắp trở nên cực kỳ khó khăn.
HashDit đã phát hành cảnh báo bảo mật khẩn cấp, yêu cầu người dùng ngừng ngay mọi giao dịch liên quan đến token GANA cho tới khi đội ngũ phát triển chính thức thông báo và cập nhật bản vá bảo mật. Công ty nhấn mạnh tiếp tục tương tác với hợp đồng bị xâm phạm sẽ khiến người dùng đối mặt với rủi ro lớn hơn.
Sự cố này tiếp tục nối dài danh sách các vụ tấn công trên BSC, dù mạng lưới này đã cải thiện đáng kể các chỉ số an toàn. Theo phân tích của BNB Chain và Hacken, tổng thiệt hại toàn hệ sinh thái đã giảm mạnh 70%, từ 161 triệu USD năm 2023 xuống còn 47 triệu USD năm 2024. Dù các biện pháp phòng thủ được nâng cấp, những vụ việc như GANA vẫn là thách thức cho khả năng bảo vệ của mạng lưới.
Các sự cố bảo mật trước đó trên BSC là ví dụ điển hình cho bối cảnh mối đe dọa ngày càng phức tạp. Nổi bật là cuộc tấn công phishing tháng 9 khiến một người dùng Venus Protocol mất 13,5 triệu USD vì vô tình chấp thuận giao dịch độc hại. Lưu ý, hợp đồng thông minh cốt lõi của Venus Protocol không bị ảnh hưởng; thiệt hại xuất phát từ lừa đảo ở cấp cá nhân thay vì lỗi hệ thống.
Thêm vào đó, nền tảng meme coin Four.Meme từng bị tấn công 183.000 USD trong thời điểm thị trường biến động. Vụ việc nhiều khả năng áp dụng kỹ thuật sandwich, khiến mất khoảng 125 BNB và diễn ra trong bối cảnh token Test của nền tảng giao dịch bất ổn.
Kế hoạch khắc phục và điều tra chính thức được triển khai
Đội ngũ phát triển GANA đã lập tức phát ra thông báo chính thức xác nhận hạ tầng hợp đồng tương tác bị tấn công từ bên ngoài. Họ khẳng định đối tượng trái phép đã truy cập và rút tài sản người dùng thông qua khai thác lỗ hổng hợp đồng.
Trong phản hồi, đội ngũ đã công bố kế hoạch hành động cấp bách: hợp tác cùng một công ty bảo mật độc lập chuyên điều tra pháp y blockchain và kiểm toán hợp đồng thông minh. Đối tác này sẽ tiến hành điều tra khẩn cấp các khía cạnh then chốt: phân tích kỹ lưỡng điểm vào, xác định lỗ hổng tạo điều kiện cho vụ việc, đánh giá đầy đủ phạm vi ảnh hưởng đối với người dùng và hạ tầng giao thức.
Chiến lược khắc phục gồm nhiều bước quan trọng. Dự án cam kết tiến hành khởi động lại hệ thống, lập bản đồ toàn bộ địa chỉ tài sản người dùng và quyền truy cập liên quan. Kiểm toán chi tiết sẽ bảo đảm không còn tồn tại lỗ hổng trước khi hoạt động trở lại.
Đội ngũ GANA gửi lời xin lỗi chính thức tới những người dùng chịu tổn thất và bất tiện do sự cố. Họ cam kết duy trì thông tin minh bạch trong suốt quá trình khắc phục, cập nhật đầy đủ kế hoạch phục hồi, cơ chế bồi thường và tiến độ thực hiện qua các kênh chính thức trong thời gian tới.
Thời điểm vụ việc đặc biệt đáng chú ý vì xuất hiện sau giai đoạn thị trường tiền điện tử ít sự cố bảo mật. Theo dữ liệu từ PeckShield, ngành này vừa ghi nhận mức tổn thất tháng thấp kỷ lục, chỉ 18,18 triệu USD bị đánh cắp qua 15 sự việc, giảm 85,7% so với 127,06 triệu USD tháng trước đó.
Tuy nhiên, các chuyên gia bảo mật vẫn cảnh báo nguy cơ khi kẻ xấu tiếp tục phát triển chiến thuật với tốc độ ngang hoặc vượt quá khả năng ứng phó của hệ thống. Độ tinh vi của vụ GANA cho thấy cuộc “chạy đua vũ trang” giữa tấn công và phòng thủ vẫn diễn ra quyết liệt.
Vụ xâm nhập GANA diễn ra gần thời điểm Balancer Protocol bị tấn công với quy mô lớn hơn. Balancer mất hơn 128 triệu USD trên nhiều mạng blockchain do kẻ tấn công khai thác pool Balancer V2 Composable Stable thông qua thao tác hợp đồng thông minh phức tạp, gồm kiểm tra quyền hạn không đầy đủ và lỗ hổng callback. Chỉ trong vài phút, tài sản lớn bị rút và sau đó tiếp tục được rửa qua Tornado Cash với quy trình tương tự vụ GANA.
Dù StakeWise đã kịp thu hồi 19,3 triệu USD osETH qua lệnh hợp đồng khẩn cấp, giảm tổn thất ròng của Balancer còn khoảng 98 triệu USD, sự cố đã gây tác động mạnh tới thị trường. TVL của Balancer giảm từ 442 triệu USD xuống 214,52 triệu USD chỉ trong một ngày, cho thấy hệ quả nghiêm trọng mà các sự cố bảo mật gây ra với các giao thức DeFi.
Những sự kiện này là minh chứng rõ ràng cho tầm quan trọng của kiểm toán bảo mật kỹ lưỡng, giám sát liên tục và năng lực phản ứng sự cố nhanh trong các dự án blockchain thuộc lĩnh vực tài chính phi tập trung.
Câu hỏi thường gặp
Vụ khai thác 3,1 triệu USD trên GANA Payment đã được thực hiện như thế nào?
Lỗ hổng này nhắm vào hợp đồng thông minh của GANA Payment trên BSC, tạo điều kiện cho hacker rút tiền thông qua tấn công reentrancy và chuyển token trái phép, gây thiệt hại 3,1 triệu USD.
Lỗ hổng bảo mật của dự án BSC này ảnh hưởng thế nào tới tài sản người dùng?
Vụ khai thác 3,1 triệu USD đã trực tiếp làm tổn thất tài sản của người dùng GANA Payment. Các nạn nhân bị mất tiền ngay lập tức. Lỗ hổng cho phép hacker rút cạn thanh khoản pool và số dư ví người dùng. Hành động tức thì gồm kiểm tra bảo mật ví và theo dõi phục hồi tài sản qua phân tích blockchain.
Cách nhận diện và đánh giá rủi ro bảo mật hợp đồng thông minh của dự án DeFi?
Nên xem báo cáo kiểm toán từ các đơn vị uy tín, phân tích mã nguồn trên GitHub, kiểm tra chương trình bug bounty, xác minh năng lực đội ngũ phát triển, kiểm tra lịch sử triển khai hợp đồng, đánh giá thanh khoản dự án và theo dõi phản hồi cộng đồng để phát hiện dấu hiệu bất thường.
Đội ngũ GANA Payment đã xử lý sự cố bảo mật này thế nào?
Đội ngũ dự án đã phản ứng tức thời, tạm dừng hợp đồng thông minh bị ảnh hưởng và mời kiểm toán viên bảo mật điều tra vụ khai thác 3,1 triệu USD. Họ thông báo minh bạch tới người dùng, đồng thời triển khai các biện pháp phục hồi và tăng cường bảo mật nhằm ngăn chặn lỗ hổng tái diễn.
Nhà đầu tư nên bảo vệ mình khỏi rủi ro lỗ hổng ở dự án blockchain kiểu này như thế nào?
Nhà đầu tư nên kiểm toán hợp đồng thông minh qua các công ty uy tín, đa dạng hóa danh mục đầu tư, thường xuyên theo dõi cập nhật bảo mật, xác minh năng lực và kinh nghiệm đội ngũ phát triển, sử dụng ví phần cứng và chỉ tham gia dự án có quản trị minh bạch, chương trình bug bounty hoạt động.
Những dự án nào trong hệ sinh thái BSC từng gặp sự cố do lỗ hổng hợp đồng thông minh?
BSC từng ghi nhận nhiều sự cố bảo mật như PancakeSwap (tấn công flash loan), Binance Bridge (khai thác cross-chain), SafeMoon (nguy cơ rug pull) và nhiều dự án khác gặp lỗ hổng hợp đồng thông minh, dẫn tới tổn thất lớn.
* Thông tin không nhằm mục đích và không cấu thành lời khuyên tài chính hay bất kỳ đề xuất nào được Gate cung cấp hoặc xác nhận.
