Giám đốc điều hành FearsOff, Marwan Hachem, nhận định rằng việc duy trì quá nhiều quyền kiểm soát tập trung trong các dự án “tự nhận là phi tập trung” tiềm ẩn rủi ro rất lớn.
Nội dung bài viết
UXLink bị tấn công, giá token sụp đổ
Nền tảng mạng xã hội phi tập trung UXLink cho biết hôm thứ Tư rằng họ đang triển khai một hợp đồng thông minh mới trên Ethereum, sau khi phát hiện lỗ hổng bảo mật trong ví đa chữ ký cho phép kẻ tấn công tạo ra hàng tỷ token trái phép, khiến giá trị tài sản gốc của dự án sụp giảm. Theo UXLink, hợp đồng mới đã vượt qua kiểm tra bảo mật và loại bỏ hoàn toàn chức năng “đốt” token nhằm ngăn chặn các sự cố tương tự trong tương lai.
Trước đó một ngày, dự án xác nhận kẻ tấn công đã chuyển lượng lớn tiền điện tử lên các sàn giao dịch. Thiệt hại ước tính dao động đáng kể: Cyvers Alerts cho rằng ít nhất 11 triệu USD đã bị đánh cắp, trong khi Hacken đưa ra con số hơn 30 triệu USD. Cuộc tấn công này cho thấy những lỗ hổng nghiêm trọng của hợp đồng thông minh mà các dự án DeFi cần sớm khắc phục.
Rủi ro “kiểm soát tập trung” và lỗi thiết kế
Theo Hachem, vụ việc xảy ra do lỗ hổng “delegate call” trong ví đa chữ ký, cho phép hacker thực thi mã tùy ý và chiếm quyền quản trị hợp đồng. Ban đầu, kẻ tấn công đã đúc 2 tỷ token UXLINK, khiến giá token giảm 90% từ 0,33 USD xuống 0,033 USD. Hacken ước tính tổng cộng gần 10 nghìn tỷ token đã bị tạo ra.
“Điều này cho thấy những lỗi thiết kế nghiêm trọng trong hệ thống của UXLink,” Hachem nhận xét. “Ví đa chữ ký chưa được bảo vệ trước các cuộc gọi ủy quyền, quyền đúc token lỏng lẻo và thiếu cơ chế giới hạn nguồn cung trong hợp đồng.” Ông nhấn mạnh đây là minh chứng rõ ràng cho rủi ro khi giữ quá nhiều quyền kiểm soát tập trung trong một dự án tự nhận là phi tập trung.
Bài học về bảo mật cho các dự án DeFi
Hachem cho rằng vụ tấn công hoàn toàn có thể tránh được nếu áp dụng các biện pháp bảo vệ chuẩn. Cụ thể, cần bổ sung khóa thời gian (time-lock) cho các hành động nhạy cảm như đúc token mới hay thay đổi quyền sở hữu, với độ trễ 24–48 giờ để cộng đồng kịp thời phát hiện bất thường. Bên cạnh đó, dự án nên từ bỏ quyền đúc token sau khi ra mắt để ngay cả đội ngũ nội bộ cũng không thể tạo thêm nguồn cung, đồng thời mã hóa cứng giới hạn cung tối đa ngay trong hợp đồng.
Ông cũng nhấn mạnh tầm quan trọng của kiểm toán độc lập thường xuyên, công khai địa chỉ ví đa chữ ký và yêu cầu nhiều người cùng ký cho mỗi giao dịch. “Ngay cả ví đa chữ ký — công cụ phổ biến trong DeFi — cũng không bất khả xâm phạm. Các dự án cần cơ chế quản trị phi tập trung và khả năng dừng khẩn cấp khi phát hiện rủi ro,” Hachem nói.
Sự cố UXLink vì vậy trở thành lời cảnh tỉnh cho toàn ngành: vội vàng triển khai mà thiếu nền tảng bảo mật bền vững sẽ làm lung lay niềm tin cộng đồng. Theo Hachem, “tốt nhất là đầu tư vào an ninh từ đầu, thay vì trả giá đắt sau này.”
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
