Cộng đồng DeFi trên mạng lưới BSC vừa chứng kiến một vụ khai thác lỗ hổng bảo mật nghiêm trọng.
Hệ thống giám sát TenArmor đã phát hiện một cuộc tấn công nhắm vào token $XPL , khiến giao thức này thất thoát số tiền lớn chỉ trong tích tắc.
🔷 Thiệt Hại Và Phương Thức Tấn Công
Ước tính ban đầu cho thấy kẻ tấn công đã rút ruột thành công khoảng $718,800 USD từ giao thức.
Lỗ hổng nằm ở cơ chế đốt token trong Smart Contract, cụ thể là hàm DynamicBurnPool. Kẻ tấn công đã lợi dụng logic kiểm tra lỏng lẻo của hàm này để trục lợi.
🔶 Dữ liệu giao dịch on chain cho thấy đây lại là một vụ tấn công sử dụng Flash Loan với quy mô khổng lồ để thao túng thị trường:
Hacker đã vay nóng một lượng tài sản cực lớn từ các Ong lớn DeFi như Venus và Lista DAO.
Cụ thể, chúng đã vay tới 285,685 W$BNB trị giá hơn 256 triệu USD, cùng hàng triệu USD giá trị BTCB và USDT.
Số vốn khổng lồ này được dùng để làm lệch trạng thái của Pool thanh khoản trong giây lát, đánh lừa cơ chế DynamicBurnPool của XPL để rút tiền ra mà không bị phát hiện bởi các cơ chế bảo vệ thông thường.
🔷 Cảnh Báo Xu Hướng Mới
TenArmor cảnh báo rằng đây không phải là vụ việc ngẫu nhiên.
Hiện tại, có những nhóm hacker đang tích cực scanning toàn bộ mạng lưới để tìm kiếm các dự án có cơ chế Burn hoặc Reward bị lỗi tương tự như XPL.
⚠️ Khuyến nghị người dùng:
Không mua bán/giao dịch token XPL vào thời điểm này để tránh rủi ro biến động giá hoặc lỗi contract.
Nếu đã từng cấp quyền cho contract của XPL, hãy Revoke ngay lập tức để bảo vệ ví cá nhân.
Bài viết này chỉ mang tính chất tham khảo, không phải là lời khuyên đầu tư. Vui lòng đọc và cân nhắc kỹ trước khi đưa ra quyết định.