Các lỗ hổng liên quan đến phê duyệt tiếp tục thúc đẩy các vụ khai thác DeFi khi tổn thất năm 2026 vượt quá 750 triệu đô la trên toàn thế giới.
Các thất bại bảo mật mới tiếp tục gây áp lực lên các nền tảng tài chính phi tập trung trong năm 2026. Tần suất tấn công gia tăng đã thúc đẩy các nhóm giao thức siết chặt kiểm toán và xem xét quyền hạn hợp đồng một cách quyết liệt hơn. Ekubo Protocol trở thành mục tiêu mới nhất sau khi kẻ tấn công khai thác lỗ hổng trong cơ sở hạ tầng EVM của nó liên quan đến xử lý phê duyệt token. Sự cố này bổ sung vào danh sách ngày càng dài các vụ khai thác đã rút hàng trăm triệu đô la từ các nền tảng DeFi trong năm nay.
Blockaid Xác Định Điểm Yếu Kiểm Soát Truy Cập Đằng Sau Vụ Tấn Công Ekubo
Ekubo Protocol mất khoảng 1,4 triệu đô la bitcoin bọc (wrapped bitcoin) sau khi kẻ tấn công khai thác lỗ hổng kiểm soát truy cập trong các hợp đồng router swap dựa trên EVM của nó. Công ty bảo mật blockchain Blockaid cho biết vụ khai thác nhắm vào cơ chế callback thanh toán dễ bị tấn công trong các hợp đồng mở rộng EVM v2 của Ekubo.EVM extension contracts.
Root Cause:
The Ekubo extension implements its IPayer[.]pay callback (selector 0x599d0714, gated to msg.sender == EkuboCore) by doing token.transferFrom(payer, Core, amount) where payer, token, and amount are forwarded straight from the lock payload- i.e. controlled by whoever…
— Blockaid (@blockaid_) May 5, 2026
Ekubo hoạt động như một AMM thanh khoản tập trung, lần đầu ra mắt trên Starknet và sau đó mở rộng sang Ethereum và Arbitrum. Nền tảng này được biết đến với kiến trúc singleton và thiết kế mở rộng mô-đun.
Theo Blockaid, kẻ tấn công đã thao túng dữ liệu tải trọng (payload), bao gồm các tham số người trả tiền, token và số lượng. Các hợp đồng được cho là đã không xác minh xem người trả tiền đã phê duyệt giao dịch trước khi thực thi hay không. Điểm yếu đó cho phép kẻ tấn công rút sạch các ví đã từng cấp phê duyệt token cho các hợp đồng router bị ảnh hưởng.
Các nhà nghiên cứu bảo mật cho biết kẻ tấn công đã thực hiện vụ trộm thông qua gần 85 giao dịch nhanh chóng. Các nền tảng giám sát on-chain, bao gồm Cyvers, đã theo dõi số tiền bị đánh cắp sau khi khoảng 17 WBTC bị rút khỏi một ví nạn nhân chính. Tài sản sau đó được đổi thành WETH và DAI.
Tổn Thất DeFi Vượt 750 Triệu Đô La Sau Vụ Khai Thác Gần Đây
Ekubo cảnh báo người dùng ngay sau khi phát hiện vi phạm. Các thành viên trong nhóm xác nhận rằng vụ khai thác chỉ ảnh hưởng đến các hợp đồng router swap EVM, trong khi các nhà cung cấp thanh khoản không bị ảnh hưởng. Các nhà phát triển cũng cho biết triển khai chính trên Starknet của giao thức vẫn hoạt động bình thường.
Starknet is not affected by the Ekubo router incident.
The issue happened on EVM, where users often leave unlimited token approvals behind.
On Starknet, native Account Abstraction enables a better UX: apps can bundle authorization and execution in the same transaction, so users… https://t.co/ZLMn2RTgdm
— StarkWare 🥷 (@StarkWareLtd) May 6, 2026
Người dùng được khuyến khích thu hồi ngay lập tức các phê duyệt token chưa xử lý thông qua revoke.cash để giảm mức độ rủi ro hơn nữa. Ekubo cũng lưu ý rằng các hợp đồng EVM bị ảnh hưởng là bất biến theo thiết kế, chỉ còn cách triển khai lại là giải pháp khả thi duy nhất cho hệ thống router bị xâm phạm.
Vụ tấn công phản ánh một mô hình rộng hơn được thấy trên toàn bộ tài chính phi tập trung trong năm nay. Các lỗ hổng dựa trên phê duyệt và lỗi quyền đã liên tục xuất hiện trong các giao thức DeFi mô-đun, đặc biệt là những giao thức xử lý cơ sở hạ tầng xuyên chuỗi hoặc dựa trên mở rộng.
Các tổn thất liên quan đến DeFi đã vượt quá 750 triệu đô la trước vụ khai thác Ekubo, theo báo cáo trước đó từ The Block. Chỉ riêng tháng Tư đã ghi nhận khoảng 620 triệu đô la tiền bị đánh cắp trong gần 30 sự cố riêng biệt.
Các vụ vi phạm lớn liên quan đến Drift Protocol và Kelp DAO chiếm phần lớn tổn thất trong tháng. Các cuộc tấn công nhỏ hơn nhắm vào Wasabi Protocol và Volo Protocol cũng làm gia tăng áp lực lên một năm vốn đã khó khăn đối với bảo mật DeFi.
Để lại một bình luận