Purrlend mất 1,5 triệu USD trong một vụ khai thác DeFi liên quan đến cập nhật ví admin đáng ngờ. Xem những gì đã xảy ra trên HyperEVM và MegaETH.
Purrlend, một giao thức cho vay được xây dựng trên HyperEVM và MegaETH, đã hứng chịu một vụ khai thác lớn.
Kẻ tấn công đã rút khoảng 1,5 triệu USD trên cả hai mạng lưới.
Vụ vi phạm bắt nguồn từ một giao dịch multisig của admin đáng ngờ. Nó đã cấp quyền bridge trái phép vài giờ trước cuộc tấn công.
Giao thức đã tạm dừng mọi hoạt động và mở một cuộc điều tra.
Cách cập nhật ví admin của Purrlend kích hoạt vụ khai thác
Theo các báo cáo, một giao dịch quan trọng đã xảy ra lúc 1:20 sáng theo giờ UTC.
Multisig admin đã cập nhật giới hạn vay và gán vai trò cho một địa chỉ không xác định.
Địa chỉ đó sau đó đã nhận được quyền bridge, cho phép đúc token không có tài sản thế chấp. Nói ngắn gọn, các token đã được đúc mà không có bất kỳ tài sản thế chấp thực tế nào hỗ trợ.
Loại quyền truy cập này rất nhạy cảm trong các hệ thống cho vay DeFi. Việc cấp quyền này cho một địa chỉ chưa được xác minh đã mở đường cho việc rút quỹ hàng loạt.
Cộng đồng đã nhanh chóng gắn cờ hoạt động ví này là đáng ngờ. Các câu hỏi về ai đã ủy quyền giao dịch vẫn chưa được trả lời.
We have detected irregular activity on the protocol and are actively investigating. The protocol has been paused for the time being. Please proceed with extra caution in the meantime. Further updates will be posted from this account.
— Purrlend (@purrlend) April 25, 2026
Purrlend xác nhận trên tài khoản chính thức rằng đã phát hiện hoạt động bất thường.
Nhóm phát triển cho biết giao thức đã bị tạm dừng và các cập nhật tiếp theo sẽ được đưa ra. Chưa có thông tin kỹ thuật chi tiết nào được công bố.
Phân tích số tiền bị đánh cắp trên HyperEVM và MegaETH
Nhà phân tích on-chain kirbycrypto đã phân tích chi tiết các tài sản bị đánh cắp.
HyperEVM chịu thiệt hại lớn hơn, mất tổng cộng 1.197.488 USD. Bao gồm 449.683 USDC, 214.125 USDT0 và 194.745 USDH. Các tài sản bị đánh cắp khác bao gồm wstHYPE, UBTC, UETH, kHYPE và WHYPE.
MegaETH ghi nhận thiệt hại 324.549 USD. Kẻ tấn công đã lấy 163.169 USDT0, 36,8 WETH và 75.745 USDm từ chuỗi đó.
Tổng cộng, số tiền lên tới khoảng 1,52 triệu USD. Kirbycrypto đã công bố bảng phân tích đầy đủ trên X, trích dẫn dữ liệu giao dịch cấp độ ví.
Purrlend appears to be exploited on both MegaETH and HyperEVM.
Attacker made off with:
449,683.8748 $USDC
214,125.3752 $USDT0
194,745.1368 $USDH
2.0477 $UBTC
1,581.3418 $wstHYPE
19.6052 $UETH
868.4795 $kHYPE
757.0228 $WHYPE
Total: $1,197,488.33 on HyperEVM+
163,169.1587… pic.twitter.com/SgP4CsK4Ln
— kirbycrypto (@kirbyongeo) April 25, 2026
Các tài sản bị nhắm mục tiêu chủ yếu là stablecoin và token wrapped. Đây thường là những mục tiêu có tính thanh khoản cao trong các vụ khai thác DeFi.
Khả năng di chuyển dễ dàng giữa các chuỗi khiến chúng trở nên hấp dẫn đối với kẻ tấn công.
Đọc thêm:
https://www.livebitcoinnews.com/another-defi-blow-volo-protocol-hit-by-3-5m-hack-freezes-vaults-on-sui/
Phản ứng của cộng đồng và tháng Tư khó khăn của DeFi vẫn tiếp diễn
Các thành viên cộng đồng đã phản ứng với sự thất vọng trên các nền tảng mạng xã hội.
Một số người dùng chỉ ra những dấu hiệu cảnh báo trước đó. Một mối quan ngại được đưa ra là việc quảng bá mạnh mẽ giao thức ngay trước sự kiện token của MegaETH.
Những người khác cho rằng đây có thể là một vụ nội gián, mặc dù chưa có bằng chứng xác nhận tuyên bố đó.
Cho đến nay chưa có khoản tiền nào được thu hồi. Nhóm Purrlend chưa công khai kế hoạch khắc phục. Cuộc điều tra vẫn đang được tiến hành tính đến thời điểm báo cáo này.
Sự cố này làm gia tăng thêm giai đoạn khó khăn cho lĩnh vực DeFi. Riêng tháng Tư đã chứng kiến hơn 600 triệu USD thiệt hại từ các cuộc tấn công và khai thác khác nhau.
Purrlend gia nhập danh sách ngày càng dài các giao thức bị vi phạm bảo mật trong tháng này. Mô hình này đã làm dấy lên những lo ngại rộng rãi hơn về kiểm soát truy cập trong các cấu trúc quản trị DeFi.
Để lại một bình luận