Hacker Truebit có thể đã “tập dượt” trước
Chainalysis cho rằng kẻ đứng sau vụ tấn công giao thức Ethereum Truebit, gây thiệt hại khoảng 26 triệu USD hồi tháng 1, có thể đã thử nghiệm kỹ thuật trên các mục tiêu nhỏ hơn trước khi ra tay.
Trong báo cáo mới, công ty phân tích blockchain xác định bốn vụ tấn công nhằm vào Truebit, Trusted Volumes, Aperture Finance và Ekubo, với tổng thiệt hại khoảng 37 triệu USD.
Điểm chung đáng chú ý là mã nguồn của các hợp đồng bị khai thác đều chưa được xác minh công khai trên trình khám phá blockchain. Điều này khiến chúng gần như không nhận được sự kiểm tra từ cộng đồng, chuyên gia độc lập hay các chương trình săn lỗi.
Hợp đồng tồn tại từ năm 2021 vẫn mang lỗ hổng
Hợp đồng Truebit đã hoạt động trên Ethereum từ năm 2021 và được biên dịch bằng Solidity 0.5.3, phiên bản ra đời trước khi cơ chế chống tràn số nguyên tự động trở thành tiêu chuẩn.
Kẻ tấn công phát hiện lỗi integer overflow trong cơ chế bonding curve, qua đó tạo lượng lớn token với chi phí rất thấp rồi chuyển đổi chúng sang ETH.
Theo Chainalysis, hacker có thể phân tích mã bytecode chưa xác minh bằng các công cụ như Dedaub, Heimdall và Panoramix.
Sau khi được giải mã thành dạng dễ đọc, mã này còn có thể được đưa vào hệ thống AI để tìm lỗi tái nhập, sai số học hoặc điểm yếu kiểm soát truy cập nhanh hơn con người.
INSIGHT: A Chainalysis report reveals that attackers have stolen at least $36.7 million from unverified smart contracts in the past six months.
Protocols such as Truebit, Trusted Volumes, Aperture Finance, and Ekubo have been targeted due to their unverified source code.… pic.twitter.com/MAr0KN77NF
— DeFAI Scope (@defaiscope) June 10, 2026
Mã nguồn công khai cần trở thành yêu cầu tối thiểu
Tổng thiệt hại 36,7 triệu USD từ bốn vụ việc chỉ chiếm phần nhỏ so với hơn 1 tỷ USD bị đánh cắp khỏi DeFi trong sáu tháng qua.
Tuy nhiên, Chainalysis cảnh báo rủi ro có thể tăng khi công cụ phân tích tự động ngày càng rẻ và dễ tiếp cận. Hacker có thể quét hàng loạt hợp đồng cũ, sau đó xếp hạng mục tiêu theo mức độ dễ khai thác.
Dù các lỗ hổng khác nhau, tất cả vụ việc đều có chung khoảng trống: không công khai mã nguồn, thiếu đánh giá độc lập và không có giám sát bất thường theo thời gian thực.
Chainalysis khuyến nghị mọi hợp đồng giữ tài sản người dùng phải xác minh mã nguồn, đồng thời mở rộng kiểm toán và chương trình săn lỗi tới cả các hợp đồng triển khai phía sau cấu trúc proxy.
