MAPO đã sụp đổ hơn 96% sau một vụ khai thác xung đột băm trên Butter Bridge cho phép kẻ tấn công đúc gần một triệu tỷ token. MAP Protocol hiện đã tạm dừng giao dịch và lên kế hoạch cho một hợp đồng mới.
Token này không giảm từ từ. MAPO đã giảm hơn 96% chỉ trong vài giờ sau khi kẻ tấn công tìm ra cách thuyết phục Butter Bridge rằng nó đã xử lý một giao dịch hợp lệ.
Công ty bảo mật Blockaid đã cảnh báo về sự cố này trên X, xác định mục tiêu là Butter Bridge V3.1, còn được gọi là OmniServiceProxy. Theo Blockaid trên X, kẻ tấn công đã đánh lừa cầu nối trên cả Ethereum và BSC, đúc khoảng 1 triệu tỷ token MAPO trực tiếp vào một ví mới. Nguồn cung lưu hành hợp pháp chỉ khoảng 208 triệu. Riêng phép tính đó đã giải thích phần lớn biến động giá.
Lỗi Mà Không Ai Phát Hiện Cho Đến Khi Quá Muộn
Nguyên nhân gốc rễ không phải do rò rỉ khóa. Đó không phải là vấn đề với hợp đồng của chính MAPO. Theo phân tích kỹ thuật của Blockaid trên X, cầu nối đã xác thực các lần thử lại tin nhắn xuyên chuỗi bằng cách sử dụng keccak256(abi.encodePacked(…)) qua bốn trường byte động liên tiếp. Vấn đề: abi.encodePacked không thêm tiền tố độ dài. Các phân bổ trường khác nhau có thể tạo ra cùng một chuỗi byte, và do đó cùng một hàm băm.
Kẻ tấn công đã gieo một tin nhắn MAP-to-ETH thực tế, đã được oracle ký, trỏ đến một địa chỉ được tính toán trước. Chưa có hợp đồng nào tồn tại ở đó. Cầu nối đã lưu vào bộ nhớ đệm một lần thử lại “NotContract”. Sau đó, hợp đồng khai thác đã được triển khai chính xác đến địa chỉ đó.
Tiếp theo là một chuỗi ba bước. Theo Blockaid trên X, kẻ tấn công đã gọi retryMessageIn bằng cách sử dụng các ranh giới trường được sắp xếp lại, đóng gói thành chuỗi 601 byte giống hệt nhau. Cùng một hàm băm, cùng một lần vượt qua kiểm tra. Cầu nối đã đúc 10^15 MAPO trực tiếp vào ví của kẻ tấn công.
Các vụ khai thác cầu nối xuyên chuỗi đúc token trái phép đã trở thành một mô hình tái diễn trong cơ sở hạ tầng DeFi trong năm nay.
52 ETH Đã Mất. Gần Một Triệu Tỷ Token Vẫn Còn Ở Đó
Kẻ tấn công đã hành động nhanh chóng. Blockaid xác nhận trên X rằng 52,21 ETH, khoảng 180.000 đô la, đã bị rút khỏi pool Uniswap V4 ETH/MAPO sau khi khoảng 1 tỷ MAPO được đổ vào đó. Con số đó nghe có vẻ lớn. Nhưng nó cũng chưa đến 0,001% số lượng mà kẻ tấn công nắm giữ.
Khoảng 999.999 tỷ MAPO vẫn còn trong ví của kẻ tấn công tại thời điểm báo cáo, theo Blockaid. Giao dịch khai thác có thể thấy trên Etherscan tại 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. Địa chỉ kẻ tấn công là 0x40592025392BD7d7463711c6E82Ed34241B64279 và hợp đồng khai thác nằm tại 0x2475396A308861559EF30dc46aad6136367a1C30.
MAP Protocol xác nhận đã nhận thức được vấn đề trên X cùng ngày. MAP Protocol cho biết trên X rằng nhóm đã biết và đang phối hợp với các đối tác bảo mật bên ngoài để điều tra và ngăn chặn. Cầu nối giữa MAPO ERC-20 và MAPO mainnet đã bị tạm dừng.
MAP Protocol Di Chuyển Để Vô Hiệu Hóa Tài Sản Của Kẻ Tấn Công
Đến ngày hôm sau, phản ứng đã chuyển từ ngăn chặn sang đại tu cấu trúc. MAP Protocol thông báo trên X việc tạm dừng tất cả dịch vụ chuyển đổi giữa token MAPO trên địa chỉ hợp đồng ERC20 gốc 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 trên cả hai mạng BSC và Ethereum và MAPO trên mainnet MAP Protocol.
Tất cả các sàn giao dịch liên quan đã được thông báo để vô hiệu hóa nạp và rút các token này, nhóm tuyên bố. Người dùng được cảnh báo tránh giao dịch MAPO liên quan đến hợp đồng gốc trên các nền tảng phi tập trung, bao gồm Uniswap và PancakeSwap.
Một địa chỉ hợp đồng mới sẽ được công bố. Một snapshot sẽ được chụp vào ngày mà dự án cho là phù hợp. Bất kỳ token nào vẫn do các địa chỉ do kẻ tấn công kiểm soát nắm giữ, hiện tại lên tới hàng trăm tỷ, sẽ bị loại trừ hoàn toàn khỏi bất kỳ việc chuyển đổi hay snapshot nào trong tương lai.
MAP Protocol cũng lưu ý trên X, trong một bài đăng tiếp theo ghi nhận sự theo dõi của PeckShield về sự cố, rằng nhóm đã phối hợp với các sàn giao dịch và đối tác kể từ khi vụ vi phạm xảy ra. Một tuyên bố chính thức bao gồm các bước tiếp theo, chi tiết snapshot và hợp đồng mới đang được chuẩn bị.
Các lỗi cầu nối đã gây ra một tỷ lệ tổn thất tiền điện tử không tương xứng trong năm 2026, với những kẻ tấn công luôn nhắm vào các điểm giao nhau nơi tự động hóa và lòng tin chồng chéo.
Người dùng đã được dự án khuyên chỉ nên dựa vào các kênh chính thức. Nhóm cảnh báo, mọi hướng dẫn không chính thức nên được bỏ qua hoàn toàn.
Để lại một bình luận