Tiếng Việt
English
Nguyên nhân sự cố: Lỗi cấp quyền cho hợp đồng “swapper”
Theo dữ liệu từ Arkham Intelligence và thông tin do nhà nghiên cứu bảo mật Deebeez (Venn Network) công bố, ví doanh nghiệp của Coinbase đã cấp quyền cho hợp đồng “swapper” của 0x Project – một công cụ permissionless cho phép thực hiện hoán đổi token nhưng không được thiết kế để nhận quyền approve khiến Coinbase thiệt hại 300.000 USD phí token.
Do hợp đồng này cho phép bất kỳ ai gọi thực hiện hành động tùy ý, việc cấp quyền cho nó đồng nghĩa với việc tài sản có thể bị rút ngay lập tức. Deebeez cũng nhắc lại rằng hợp đồng “swapper” từng liên quan đến sự cố với các claim của Zora trên Base, khi kẻ xấu có thể rút tiền mà không cần khai thác lỗi code.
Ảnh chụp màn hình do Deebeez chia sẻ cho thấy Coinbase đã approve một số token gồm Amp, MyOneProtocol, DEXTools và Swell Network. Ngay sau đó, bot MEV đã thực hiện lệnh qua hợp đồng “swapper” để chuyển toàn bộ số token được approve từ tài khoản nhận phí của Coinbase sang ví của bot.
Looks like @coinbase was recently drained of ~$300,000 after using @0xProject swapper incorrectly.
— deebeez (@deeberiroz) August 13, 2025
They approved all the tokens accrued as fees to their router, getting drained immediately by MEV bots 🧵 pic.twitter.com/yWNHl8nupg
Những tiền lệ tương tự trong quá khứ
Sự cố của Coinbase không phải là trường hợp đầu tiên bot MEV trở thành trung tâm của các vụ khai thác:
- Tháng 4/2024: Một bot MEV mất 180.000 USD ETH khi bị khai thác lỗ hổng kiểm soát truy cập, kẻ tấn công hoán đổi ETH sang token vô giá trị thông qua pool độc hại.
- Năm 2023: Một validator gian lận đánh cắp 25 triệu USD từ các bot MEV thực hiện “sandwich trade”, gồm WBTC, USDC, USDT, DAI và WETH.
Tổng kết
Sự cố này cho thấy dù không xuất phát từ lỗi trong mã nguồn hợp đồng, việc quản lý quyền approve token vẫn là điểm yếu dễ bị khai thác, đặc biệt với ví doanh nghiệp thường xử lý khối lượng lớn giao dịch.
Với Coinbase, thiệt hại lần này không ảnh hưởng tới khách hàng, nhưng là lời nhắc nhở về tầm quan trọng của quy trình kiểm soát nội bộ và cấu hình ví. Với cộng đồng crypto nói chung, sự việc này cũng cảnh báo rằng mọi thao tác approve hợp đồng cần được kiểm tra kỹ, tránh tạo cơ hội cho các bot MEV và kẻ tấn công khai thác.
Đọc thêm:
_thumb_720.jpg)
