Công ty tình báo blockchain TRM Labs đã chi tiết một cuộc khai thác lỗ hổng tiếp quản quản trị nhắm vào giao thức Token of Power, làm thất thoát khoảng 1.58 triệu đô la Mỹ bằng WETH.
Theo phân tích của TRM, kẻ tấn công đã lợi dụng một điểm yếu trong thiết lập DAO Aragon của giao thức: việc thiếu timelock (khoá thời gian). Điều này cho phép kẻ tấn công đề xuất, bỏ phiếu và thực thi một hành động quản trị độc hại trong cùng một khối.
Kẻ tấn công được cho là đã tài trợ cho hoạt động này bằng 662 ETH rút từ Tornado Cash, mua đủ token TOP để có được quyền biểu quyết đa số, đúc mới 10 tỷ token TOP, và hoán đổi những token này lấy WETH thông qua một pool Balancer trước khi định tuyến lại số tiền qua Tornado Cash.
Tại Sao Timelock Quan Trọng
Vụ khai thác lỗ hổng này là một ví dụ rõ ràng về cách thiết kế quản trị có thể trở thành một rủi ro bảo mật trực tiếp. Bỏ phiếu bằng token trên lý thuyết có vẻ phi tập trung, nhưng nếu một kẻ xấu có thể nhanh chóng mua quyền biểu quyết và thực thi các thay đổi ngay lập tức, thì hệ thống quản trị có thể trở thành một mặt tấn công.
Timelock được thiết kế để cho người dùng, nhà phát triển và các đội bảo mật có thời gian phản ứng trước khi một đề xuất có thể được thực thi. Không có độ trễ đó, một cuộc bỏ phiếu thù địch có thể biến thành một vụ rút tiền trước khi bất kỳ ai có thể ngăn chặn.
Tại Sao Vấn Đề Này Quan Trọng
Đối với người dùng DeFi, câu chuyện này là một lời nhắc nhở rằng rủi ro hợp đồng thông minh không chỉ giới hạn ở lỗi mã. Các thông số quản trị, kiểm soát kho bạc và ngưỡng bỏ phiếu có thể cũng quan trọng không kém.
Nó cũng nhấn mạnh cách các dịch vụ trộn tiền (mixer) và các pool thanh khoản có thể được sử dụng xung quanh một vụ khai thác lỗ hổng mà không phải là chính giao thức bị khai thác.
Điều Gì Cần Theo Dõi Tiếp Theo
Điều tiếp theo cần theo dõi là liệu số tiền bị đánh cắp có di chuyển lần nữa hay không và liệu giao thức, Aragon, hoặc các nhà cung cấp thanh khoản bị ảnh hưởng có công bố thêm chi tiết khắc phục hay không.
Bài viết không được nói rằng chính Tornado Cash bị hack.
Bối Cảnh Thị Trường
Đối với Bitcoinist, câu chuyện này nằm trong bối cảnh thay đổi rộng lớn hơn trong crypto, nơi cơ sở hạ tầng, bảo mật, quản trị và tính hữu dụng của token đang trở nên quan trọng không kém hành động giá ngắn hạn. Các nhà giao dịch vẫn quan tâm đến động lực, nhưng họ cũng cần hiểu các hệ thống, rủi ro và thay đổi sản phẩm đằng sau những tiêu đề.
Góc nhìn hữu ích không phải là phóng đại sự phát triển, mà là giải thích tại sao nó thuộc về cuộc trò chuyện thị trường hàng ngày. Các câu chuyện crypto mạnh ngày càng đến từ các bản cập nhật giao thức, thông báo chính thức, báo cáo bảo mật, hồ sơ tòa án và dữ liệu trên chuỗi hơn là chỉ từ những bình luận tái chế.
Thông điệp biên tập nên giữ vững lập trường: nguồn tin xác nhận một phát triển crypto có ý nghĩa, nhưng các hệ quả phụ thuộc vào mức độ áp dụng, các tiết lộ tiếp theo, hoặc bằng chứng trên chuỗi bổ sung. Sự cân bằng đó giữ cho bài viết hữu ích mà không dựa vào sự cường điệu hoặc những tuyên bố không có cơ sở.
Từ góc độ biên tập, điều này khiến câu chuyện đáng để đưa tin như một phần của môi trường hoạt động crypto rộng lớn hơn trong ngày, thay vì như một chu kỳ cường điệu đơn lẻ. Phiên bản mạnh nhất của bài viết nên bám sát nguồn đã được xác minh, giải thích rủi ro hoặc cơ hội thực tế, và để ngỏ khả năng theo dõi tiếp một khi có thêm dữ liệu chính thức, hồ sơ hoặc tuyên bố từ dự án.
Báo cáo này dựa trên thông tin từ báo cáo bảo mật trên chuỗi của TRM Labs.
