Hacker vụ Trusted Volumes hoàn trả 1.122 ETH, giữ lại "2 triệu USD" như tiền thưởng

Tóm tắt thị trường bằng AI
Một ví liên quan đến vụ khai thác Trusted Volumes đã hoàn trả 1.122 ETH vào kho tài sản của giao thức trong khi dường như giữ lại khoảng 2 triệu USD như một khoản "tiền thưởng" không chính thức, qua đó đảo ngược một phần khoản thất thoát khoảng 5,9 triệu USD gắn với việc vượt qua kiểm tra chữ ký của proxy hoán đổi RFQ. Việc thu hồi này làm giảm mức độ nghiêm trọng của tổn thất trước mắt, nhưng kết cục được thương lượng làm nổi bật sự mong manh dai dẳng của mã và thực thi trong DeFi, điều có thể gây sức ép lên niềm tin đối với từng giao thức dù đã có hoàn trả trên chuỗi.
Mức ảnh hưởng
● Thấp
Tài sản bị ảnh hưởng
ETH/USDT-0.01%
Quan điểm AI · ETH/USDTQuan điểm AI
● Trung lập
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Kẻ tấn công liên quan đến sự cố bảo mật của Trusted Volumes đã chuyển trả 1.122 ETH về kho quỹ của giao thức, khép lại một phần vụ việc bắt nguồn từ cuộc khai thác trị giá nhiều triệu USD hồi đầu năm. Diễn biến hoàn trả on-chain lần này khá hiếm: số tiền được trả lại không phải toàn bộ, khi ví gắn với vụ exploit hoàn trả lượng ETH tương đương khoảng 2 triệu USD nhưng vẫn giữ lại một khoản lớn khác, được xem như một dạng "tiền thưởng" trên thực tế. Kịch bản này không xa lạ trong DeFi, nơi nhiều dự án đôi khi chọn đàm phán với kẻ tấn công sau exploit để tránh nguy cơ mất trắng vĩnh viễn. Việc thu hồi một phần tài sản giúp giảm thiệt hại cho giao thức và người dùng, nhưng cấu trúc dàn xếp cũng cho thấy bức tranh an ninh DeFi vẫn rối rắm: khi hợp đồng thông minh gặp lỗi, thị trường thường phải dựa vào áp lực dư luận, theo dõi dòng tiền qua ví và thương lượng không chính thức thay vì quy trình pháp lý rõ ràng. Theo dữ liệu ví và giao dịch trên Etherscan, vụ tấn công ngày 7/5 xuất phát từ lỗ hổng ở RFQ swap proxy của Trusted Volumes. Bằng chứng on-chain cho thấy kẻ tấn công đã rút khoảng 5,9 triệu USD tài sản thông qua việc vượt qua cơ chế kiểm tra chữ ký (signature-check bypass). Với DeFi, đây là dạng lỗ hổng đặc biệt nguy hiểm do nằm sát lớp thực thi của giao thức: nếu swap proxy chấp nhận chỉ thị không hợp lệ hoặc kiểm tra sai, kẻ tấn công có thể di chuyển tài sản theo cách mà hệ thống không được thiết kế để cho phép. Cập nhật quan trọng hiện tại là giao thức đã nhận lại 1.122 ETH từ ví của kẻ tấn công. Etherscan ghi nhận các giao dịch phản ánh "chặng thu hồi" của dòng tiền. Dù vậy, điều này không đồng nghĩa Trusted Volumes đã được bồi hoàn đầy đủ. Đây là thu hồi một phần đáng kể, nhưng vẫn để lại câu hỏi về nguyên nhân tồn tại lỗ hổng, thời điểm phát hiện, tốc độ ứng phó và các thay đổi được triển khai để ngăn lặp lại. Các dàn xếp kiểu "hoàn trả một phần" tiếp tục xuất hiện trong tiền mã hóa vì một thực tế: blockchain giúp dòng tiền minh bạch, nhưng không đảm bảo có thể thu hồi. Khi kẻ tấn công nắm khóa riêng, giao thức không thể tự đảo ngược giao dịch. Trong nhiều trường hợp, phương án khả thi nhất là đề nghị một thỏa thuận trước khi tài sản bị chuyển tiếp qua mixer, bridge hoặc các tuyến rút tiền khác. Với người dùng, bài học nằm ở rủi ro mã nguồn: ngay cả giao thức có hoạt động thực cũng có thể chịu thiệt hại lớn chỉ từ một sai sót triển khai nhỏ. Với đội ngũ phát triển, yêu cầu còn khắt khe hơn: xác thực chữ ký, kiểm soát truy cập, logic proxy và cơ chế nâng cấp cần được rà soát mạnh tay, vì kẻ tấn công chỉ cần một điểm yếu. Việc hoàn trả 1.122 ETH là tín hiệu tích cực cho Trusted Volumes, nhưng không thể coi là "xóa sổ" sự cố. Một vụ exploit đã xảy ra, tài sản đã bị rút, và kẻ tấn công dường như vẫn giữ lại khoảng 2 triệu USD như một khoản dàn xếp kiểu tiền thưởng. Bước tiếp theo thuyết phục nhất là một báo cáo postmortem rõ ràng: lỗi nằm ở đâu, cách kẻ tấn công khai thác, hợp đồng đã được vá ra sao, và liệu số dư người dùng có còn bị ảnh hưởng hay không. Trước khi các chi tiết này được công bố, thị trường có thể ghi nhận nỗ lực thu hồi mà không vội kết luận câu chuyện đã kết thúc. Bài viết dựa trên dữ liệu ví và giao dịch từ Etherscan. Nội dung do News Desk thực hiện và Samuel Rae biên tập. Nguồn thông tin: Etherscan.