Wasabi Protocol bị tấn công nghiêm trọng, mất hơn 5,5 triệu USD trên bốn blockchain: Ethereum, Base, Blast và Berachain.
Vụ khai thác bắt nguồn từ các lỗ hổng bảo mật, nhưng các cuộc điều tra cho đến nay xác nhận rằng vụ tấn công không phải do bất kỳ điểm yếu nào trong mã hợp đồng thông minh của chính giao thức. Thay vào đó, vụ hack xảy ra do ví deployer bị xâm phạm, phơi bày một trong những điểm yếu dai dẳng nhất của DeFi: sự phụ thuộc quá mức vào quản trị tập trung.
Các nhà phân tích bảo mật đã phát hiện sự cố gần như ngay lập tức khi họ nhận thấy cuộc tấn công diễn ra nhanh chóng và theo một phương pháp nhất quán trên từng chain được hỗ trợ. Sự kiện này đã thu hút sự quan tâm đáng kể từ các thành viên cộng đồng tiền mã hoá, những người xem đây là ví dụ điển hình về cách các lỗ hổng phi mã có thể gây ra hậu quả nghiêm trọng.
Cuộc tấn công lạm dụng đặc quyền admin
Cuộc tấn công đã khai thác quyền quản trị theo một cách thức rất có hệ thống. Kẻ tấn công đầu tiên xâm phạm vai trò chủ kiểm soát toàn bộ một loạt các nút động có thể được tạo bởi những người có quyền truy cập vào chúng.
Sử dụng quyền truy cập này, kẻ tấn công đã gọi grantRole, ngay lập tức cấp quyền admin cho một hợp đồng mới độc hại. Điểm mấu chốt của thao tác này là nó bỏ qua tất cả các biện pháp bảo vệ trì hoãn vì hệ thống cho phép gán vai trò mà không có bất kỳ timelock nào.
Sau khi đã nắm quyền kiểm soát quản trị, kẻ tấn công triển khai một hợp đồng điều phối, lần lượt gọi strategy deposit cho từng vault. Với hợp đồng hiện có đặc quyền cấp admin, modifier admin duy nhất vốn được thiết kế để hạn chế quyền truy cập đã trở nên vô hiệu.
Điều này cho phép kẻ tấn công rút cạn tài sản trực tiếp từ các vault, chuyển tiền vào các EOA trên cả bốn chain. Tốc độ và độ chính xác của cuộc tấn công cho thấy kẻ tấn công đã quen thuộc với kiến trúc hệ thống và các lỗ hổng của nó.
Các biện pháp khôi phục khẩn cấp vô hiệu hoá quyền truy cập bị xâm phạm
Sau đó, các biện pháp trên chuỗi đã được thực hiện để nhanh chóng vô hiệu hoá các quyền của khoá bị xâm phạm. Tất cả các vai trò quan trọng (ví dụ: ADMIN, cũng như các mã định danh vai trò như 100, 101, 102 và 103) đã được xóa khỏi ví deployer bị xâm phạm ban đầu. Điều này hoàn toàn loại bỏ bất kỳ quyền truy cập admin còn lại nào của kẻ tấn công trên giao thức. Kết quả là, vi phạm này đã bịt kín vector tấn công cụ thể.
Các nhà phân tích cho biết khoá bị xâm phạm không còn có thể được sử dụng cho bất kỳ hoạt động trái phép nào tiếp theo, đây là một bước quan trọng trong việc ngăn chặn sự cố. Tuy nhiên, dù quyền truy cập đã được khôi phục, số tiền bị đánh cắp vẫn đang nằm trong ví của kẻ tấn công trên các chain này và hiện chưa có phương án khôi phục tài sản nào.
Người dùng giao thức đang bị mắc kẹt với các token LP không còn giá trị và hiện đang chờ thông báo về kế hoạch bồi thường. Vi phạm này đã có tác động rất lớn đến người dùng. Trong trường hợp này, các token cổ phần của người cung cấp thanh khoản (LP) vẫn còn trong ví người dùng đã bị tước mất giá trị, ít nhất là trong thời điểm hiện tại, vì tài sản trong các vault đã bị rút cạn.
Đội ngũ Wasabi Protocol đã xác nhận sự cố và cho biết các cuộc điều tra đang được tiến hành. Cho đến khi có thông báo tiếp theo, người dùng được khuyến nghị mạnh mẽ tránh sử dụng bất kỳ hợp đồng Wasabi nào để hạn chế rủi ro bổ sung. Các công ty bảo mật như SEAL 911 và Blockaid đang làm việc trực tiếp với đội ngũ giao thức để hiểu mức độ thiệt hại và phác thảo các biện pháp khắc phục. Hiện tại, cộng đồng đang chờ thông tin về kế hoạch bồi thường, điều sẽ rất quan trọng trong việc xây dựng lại niềm tin và giúp người dùng bù đắp tổn thất.
Virtuals Protocol phản hồi bằng cách đóng băng các tính năng liên quan đến Wasabi
Vụ khai thác đã liên tiếp ảnh hưởng đến các nền tảng kết nối, trong số đó có Virtuals Protocol, vốn sử dụng cơ sở hạ tầng của Wasabi cho một số hệ thống nhất định.
Virtuals Protocol đã nhanh chóng phản hồi bằng cách đóng băng các khoản nạp ký quỹ liên quan đến Wasabi. Họ đã thực hiện các biện pháp phòng ngừa và đảm bảo các hoạt động cốt lõi, bao gồm giao dịch, rút tiền và các chức năng agent, vẫn hoạt động bình thường.
Khi tình hình vẫn đang diễn ra, người dùng được cảnh báo không bao giờ ký bất kỳ loại giao dịch nào liên quan đến Wasabi. Đội ngũ nhấn mạnh rằng các hạn chế này là tạm thời và sẽ được duy trì cho đến khi họ có thể đảm bảo tính toàn vẹn của các hệ thống thượng nguồn.
ZachXBT chỉ trích sự vắng mặt của các biện pháp bảo mật cơ bản
Vụ khai thác đã khơi dậy các cuộc thảo luận mới về mức độ trưởng thành của các thực tiễn bảo mật trong DeFi, trong bối cảnh các câu hỏi liên tục về việc sử dụng các biện pháp kiểm soát quản trị. Chuyên gia phân tích blockchain ZachXBT đặt câu hỏi về lý do tại sao một tài khoản được sở hữu bên ngoài (EOA) duy nhất lại được trao quá nhiều quyền kiểm soát chung mà không có các lưới an toàn cơ bản như multisig và không thể bị timelock.
Lời chỉ trích của ông phản ánh một xu hướng rộng hơn trong ngành: các hợp đồng thông minh thường xuyên được kiểm toán kỹ lưỡng nhưng các cấu trúc bảo mật và quản trị hàng ngày vẫn thường là mục tiêu dễ bị tấn công.
Các vụ khai thác phi mã đang gia tăng trong tháng 4 này
Sự cố Wasabi là ví dụ điển hình về điều chúng ta thấy leo thang trong suốt tháng 4: sự xuất hiện của các vụ khai thác lớn không phải do lỗi hợp đồng thông minh mà do các vấn đề trong bảo mật quản trị.
Logic hợp đồng hoạt động đúng như thiết kế trong trường hợp này. Mô hình tin cậy đã thất bại, đơn giản như vậy; trong trường hợp này S1 sử dụng một khoá admin duy nhất để kiểm soát thượng nguồn mà không có bất kỳ lớp bảo vệ bổ sung nào.
Mô hình này mô phỏng sự thay đổi trong bối cảnh mối đe dọa. Ngày càng ít kẻ tấn công cố gắng xâm nhập vào mã khó bị xâm phạm, thay vào đó họ nghiêng về con đường ít kháng cự nhất bằng cách tập trung vào các lỗ hổng quản trị và vận hành.
Bài học cho cả các nhà phát triển và giao thức là bảo mật vượt ra ngoài việc kiểm toán mã để đảm bảo các chính sách quản lý khoá nghiêm ngặt, kiểm soát quyền truy cập và các cơ chế an toàn dự phòng.
Khi các cuộc điều tra tiếp tục làm rõ và nhiều chi tiết hơn được tiết lộ, vụ khai thác Wasabi có khả năng trở thành một ví dụ quan trọng về những rủi ro ngày càng tăng mà tài chính phi tập trung phải đối mặt.
Tuyên bố miễn trách: Đây không phải là lời khuyên giao dịch hay đầu tư. Hãy luôn tự nghiên cứu trước khi mua bất kỳ loại tiền mã hoá nào hoặc đầu tư vào bất kỳ dịch vụ nào.
Theo dõi chúng tôi trên Twitter @nulltxnews để cập nhật những tin tức mới nhất về Crypto, NFT, AI, An ninh mạng, Điện toán phân tán và Metaverse!
Source: https://nulltx.com/wasabi-protocol-exploit-drains-5-5m-across-four-chains-as-compromised-admin-key-exposes-critical-security-flaw/
![[OPINION] Rủi ro tâm lý xã hội — chi phí ẩn của công việc tại Philippines](https://www.rappler.com/tachyon/2026/04/TL-psychosocial-work-apr-22-2026.jpg)