Lỗ hổng Hợp đồng Phí Bản quyền Legacy trên Polygon Dẫn đến Mất 261K USD Thông qua Lỗi Logic Phần thưởng

TheNewsCryptoXuất bản vào 2026-06-24Cập nhật gần nhất vào 2026-06-24

Tóm tắt

Một tin tặc đã khai thác lỗ hổng trong hợp đồng chi trả tiền bản quyền cũ (legacy royalties contract) trên mạng lưới Polygon, thu về khoảng 261.200 đô la tiền điện tử. Sự việc được công ty an ninh TenArmorAlert phát hiện và xác nhận vào ngày 23/6. Cuộc tấn công xảy ra do lỗi trong cơ chế tính toán và hạch toán phần thưởng của hợp đồng thông minh cũ này, cụ thể là trong hàm `Royal1155LD.beforeLdaTransfer()`. Kẻ tấn công đã thực hiện một loạt giao dịch có giá trị bằng 0 để thao túng số liệu tính thưởng và quyền sở hữu, từ đó làm tăng số dư token một cách giả tạo trong một số điều kiện nhất định. Họ cũng sử dụng flash loan (vay chớp nhoáng) để thực hiện khai thác, sau khi trả lại khoản vay đã thu lợi nhuận. Sự kiện này một lần nữa cảnh báo về rủi ro bảo mật từ các hợp đồng thông minh cũ hoặc phiên bản dự án đã ngừng hoạt động nhưng vẫn còn tiền. Các chuyên gia khuyến nghị nhà phát triển nên kiểm tra, cập nhật, vô hiệu hóa hoặc gỡ bỏ các triển khai cũ để giảm thiểu nguy cơ. Nhóm phát triển Polygon xác nhận cuộc tấn công này không ảnh hưởng đến bảo mật của mạng lưới blockchain chính.

Một hacker đã sử dụng hợp đồng phí bản quyền legacy trên nền tảng Polygon và cuỗm đi số tiền tiền mã hóa trị giá khoảng 261.200 USD trong thời gian gần đây. Công ty an ninh TenArmorAlert đã xác định giao dịch bất thường này vào ngày 23/6 và truy tìm giao dịch khai thác.

Chuỗi khối cho thấy hacker đã thực hiện cuộc tấn công bằng cách sử dụng giao dịch trên khối Polygon 89,018,051. Theo TenArmorAlert, hacker đã rút thành công khoảng 263.800 USD bất chấp số tiền ban đầu tương đối thấp. Cuộc tấn công nhắm vào chương trình phí bản quyền legacy chứ không phải cấu trúc cơ bản của chuỗi khối Polygon.

Tính toán Sai trong Cơ chế Phần thưởng Cho phép Rút quá mức

Theo TenArmorAlert, cuộc tấn công có thể xảy ra do các vấn đề trong cơ chế tính toán phần thưởng và hệ thống kế toán phần thưởng. Công ty bảo mật CertiK đã phát hiện ra một vấn đề với hàm Royal1155LD.beforeLdaTransfer() trong hợp đồng bị khai thác.

Các nhà nghiên cứu cho biết kẻ tấn công đã thực hiện một số giao dịch có giá trị bằng 0, thao túng việc tính toán phần thưởng và số liệu sở hữu. Lỗ hổng này cho phép kẻ tấn công làm tăng số dư token trong một số điều kiện nhất định.

The Defimon Alerts cũng cung cấp nghiên cứu khác từ DecurityHQ. Trong trường hợp này, các chuyên gia kết luận rằng việc tính toán sai phí bản quyền đã dẫn đến việc bị khai thác. Bằng cách này, các con số sở hữu sai lệch đã cho phép yêu cầu phần thưởng quá mức. Ngoài ra, kẻ tấn công đã sử dụng một khoản vay flash để khai thác hợp đồng này. Sau khi trả lại số tiền đã vay, kẻ tấn công nhận phần còn lại như lợi nhuận.

Vẫn Dễ bị Tổn thương trước các Mối đe dọa Bảo mật

Cuộc tấn công mới nhất này diễn ra trong bối cảnh các cuộc tấn công tương tự khác nhắm vào các phiên bản cũ của dự án tài chính phi tập trung cũng như các hợp đồng thông minh đã triển khai nhưng không hoạt động. Các kẻ tấn công gần đây đã thực hiện khai thác một số hợp đồng cũ của Huma Finance và đã đánh cắp khoảng 101.400 USD.

Các nhà nghiên cứu đã cảnh báo các nhà phát triển về những nguy cơ tiềm ẩn khi để lại các phiên bản hợp đồng thông minh cũ với nguồn tài chính sẵn có. Nhóm phát triển nên kiểm toán, cập nhật, vô hiệu hóa hoặc loại bỏ hoàn toàn các triển khai cũ để giảm thiểu nguy cơ bất kỳ cuộc tấn công tiềm năng nào. Các nhà phát triển Polygon đã xác nhận rằng kẻ tấn công không thể đe dọa đến bảo mật của mạng lưới chuỗi khối chính.

Tin tức Crypto nổi bật:

Lỗ hổng SecondFi Lộ khóa Ví, Đặt Hơn 20 triệu USD Tài sản Cardano vào Nguy cơ

ThẻBlockchainTiền mã hóaHackTấn công HackPolygonMạng PolygonPhần thưởng

Câu hỏi Liên quan

QHacker đã khai thác lỗ hổng gì trong hợp đồng Legacy Polygon Royalties và chiếm đoạt bao nhiêu tiền?

AHacker đã khai thác lỗ hổng trong cơ chế tính toán phần thưởng và kế toán phần thưởng của hợp đồng Legacy Polygon Royalties, cho phép rút tiền vượt mức. Số tiền bị chiếm đoạt là khoảng 261.200 đô la Mỹ (tương đương với giá trị tiền mã hóa tại thời điểm đó).

QLỗ hổng cụ thể trong hàm `Royal1155LD.beforeLdaTransfer()` cho phép kẻ tấn công thao túng như thế nào?

ALỗ hổng trong hàm `Royal1155LD.beforeLdaTransfer()` cho phép kẻ tấn công thực hiện nhiều giao dịch có giá trị bằng 0 để thao túng việc tính toán phần thưởng và số liệu sở hữu token. Điều này dẫn đến việc số dư token bị làm tăng lên một cách giả tạo trong các điều kiện nhất định, từ đó cho phép họ yêu cầu phần thưởng vượt quá mức cho phép.

QKẻ tấn công đã sử dụng kỹ thuật gì để thực hiện khai thác hợp đồng này?

AKẻ tấn công đã sử dụng một khoản vay flash (flash loan) để khai thác hợp đồng. Họ vay một lượng tài sản lớn, lợi dụng lỗ hổng để chiếm đoạt lợi nhuận bất hợp pháp, sau đó hoàn trả khoản vay và giữ lại phần tiền chênh lệch làm lợi nhuận.

QCác chuyên gia bảo mật đưa ra khuyến nghị gì cho các nhà phát triển sau vụ tấn công này?

ACác chuyên gia khuyến nghị các nhà phát triển nên kiểm tra, cập nhật, vô hiệu hóa hoặc xóa hoàn toàn các phiên bản hợp đồng thông minh cũ còn chứa tài sản. Điều này nhằm giảm thiểu nguy cơ bị tấn công khai thác từ các hợp đồng lỗi thời hoặc không còn được bảo trì.

QVụ tấn công này có ảnh hưởng đến bảo mật của mạng lưới Polygon chính không?

AKhông, các nhà phát triển Polygon đã xác nhận rằng kẻ tấn công không thể đe dọa đến bảo mật của mạng lưới blockchain chính của Polygon. Lỗ hổng nằm trong một hợp đồng phần thưởng cũ (legacy royalties contract) chứ không phải trong cấu trúc cốt lõi của blockchain.

Nội dung Liên quan

Toàn bộ sự việc về tình trạng gian lận nghiêm trọng tại Blockstream - 'Kỳ lân mật mã'

Đầu năm nay, Adam Back, người tiên phong về Bitcoin và công ty Blockstream của ông, liên tục trở thành tâm điểm chú ý trong cộng đồng tiền mã hóa. Tháng 6, tài khoản điều tra NatInfoSec đã đăng một bài viết cáo buộc Blockstream có thể đang huy động hàng tỷ USD từ nhà đầu tư dưới danh nghĩa lợi nhuận khai thác, nhưng tính xác thực của trang trại khai thác và hashrate bị nghi ngờ, với cấu trúc mang đặc điểm Ponzi. Các cáo buộc chính bao gồm: 1. **Năng lực hashrate và thanh toán bị nghi ngờ:** Để đáp ứng nghĩa vụ từ các ghi chú khai thác (BMN) đã phát hành, Blockstream được cho là cần vận hành hơn 20 EH/s, nhưng bảng điều khiển của họ chỉ hiển thị 15 EH/s. Các bằng chứng công khai về việc mua điện, nhập khẩu thiết bị hoặc phân bổ hashrate trong mining pool không tương xứng với quy mô này. Điều khoản "Substitute Performance BTC" trong BMN2 cho phép Blockstream sử dụng BTC từ bất kỳ nguồn nào để thanh toán. 2. **Lợi suất cao và rủi ro:** Các ghi chú được phát hành qua nền tảng STOKR có lợi suất cố định lên tới khoảng 20%, điều này là bất thường trong ngành khai thác Bitcoin biến động mạnh. Một số khoản thanh toán khi đáo hạn có thể được chuyển sang ghi chú mới với lợi suất cao hơn thay vì hoàn trả gốc. 3. **Tiền án và vấn đề công bố thông tin của Christopher Cook:** Christopher William Cook, cựu lãnh đạo quan trọng trong bộ phận khai thác của Blockstream và hiện là CEO của Exacore (công ty được tách ra từ hoạt động khai thác), đã bị kết án 41 tháng tù vào năm 2008 vì tội lừa đảo qua thư tín. Thông tin này không được tiết lộ trong các tài liệu phát hành BMN. Hồ sơ tòa án liên bang Mỹ xác nhận vụ án (số 06-80187) với khoản bồi thường khoảng 1,85 triệu USD. 4. **Liên quan đến BSTR/SPAC:** Mối lo ngại được đặt ra về việc các nghĩa vụ tiềm ẩn lớn từ BMN và tiền án của Cook không được đề cập trong hồ sơ đăng ký SEC của Bitcoin Standard Treasury Company (BSTR) - công ty có liên quan đến Adam Back và đang chuẩn bị niêm yết qua SPAC. Phản ứng từ cộng đồng: * **BitMEX Research** xác nhận tiền án của Cook có thể là thật và bày tỏ lo ngại về lợi suất cao, nhưng cho rằng các cáo buộc khác thiếu bằng chứng hoặc gây hiểu nhầm, chỉ ra rằng Cook không phải là giám đốc của BSTR và BMN về mặt cấu trúc pháp lý là độc lập. * **Samson Mow** (cựu CSO Blockstream) bảo vệ lập trường, khẳng định Blockstream thực hiện khai thác thật với thiết bị và hợp đồng mua điện riêng. * Các nhà phê bình như **Matthew R. Kratter** và **Chris Guida** nhấn mạnh nhu cầu **xác minh độc lập** về hashrate, nguồn thanh toán và tính minh bạch. Tóm lại, mặc dù chưa có bằng chứng trực tiếp về hành vi lừa đảo, sản phẩm ghi chú khai thác BMN của Blockstream vẫn còn nhiều câu hỏi cần làm rõ về quy mô thực tế, khả năng thanh toán dựa trên hashrate, nguồn gốc lợi suất cao, tính xác minh được của việc thanh toán bằng BTC/L-BTC, cũng như mức độ công bố thông tin liên quan đến tiền án của nhân vật chủ chốt. Tính minh bạch là yếu tố then chốt để giải tỏa nghi ngờ. Tính đến thời điểm này, Blockstream chưa có phản hồi chính thức hệ thống về những cáo buộc trên.

链捕手22 phút trước

Toàn bộ sự việc về tình trạng gian lận nghiêm trọng tại Blockstream - 'Kỳ lân mật mã'

链捕手22 phút trước

Nhóm Vận Động Hành Lang Tiền Mã Hóa Thúc Đẩy Quốc Hội Giữ Nguyên Dự Luật Thuế Cho Staking Và Khai Thác

Cuộc vận động chính sách của ngành crypto tại Washington đang mở rộng từ cấu trúc thị trường sang lĩnh vực thuế, tập trung vào dự luật H.R. 9175 - Đạo luật Minh bạch Thuế cho Khai thác và Staking. Các nhóm vận động hàng đầu đang thúc giục Quốc hội thông qua dự luật này mà không sửa đổi. Vấn đề cốt lõi là thời điểm đánh thuế đối với phần thưởng từ staking và khai thác. Ngành crypto ủng hộ việc hoãn thuế cho đến khi tài sản được bán, coi đây là phần thưởng mới tạo ra từ mạng lưới. Trong khi đó, các ngân hàng phản đối, cho rằng cách xử lý này có thể tạo lợi thế cạnh tranh không công bằng cho sản phẩm crypto so với lãi suất và tiết kiệm truyền thống. Quyết định cuối cùng sẽ có tác động thực tế lớn. Các quy tắc thuế rõ ràng, dù có lợi hay không, giúp các nhà khai thác lập kế hoạch, trong khi sự không chắc chắn làm tăng chi phí tuân thủ và có thể đẩy các cá nhân, tổ chức quy mô nhỏ ra khỏi thị trường. Điều này ảnh hưởng đến tính phi tập trung và an ninh mạng lưới của các blockchain như Ethereum và Bitcoin. Cuộc tranh luận cho thấy chương trình nghị sự chính sách của ngành crypto đang mở rộng, từ luật chứng khoán sang việc định hình các quy tắc thuế hỗ trợ nền kinh tế vận hành mạng lưới. Tương lai của dự luật sẽ phụ thuộc vào việc nó được xem xét như một sửa đổi độc lập hay được đưa vào một gói luật thuế tài sản kỹ thuật số rộng hơn.

bitcoinist55 phút trước

Nhóm Vận Động Hành Lang Tiền Mã Hóa Thúc Đẩy Quốc Hội Giữ Nguyên Dự Luật Thuế Cho Staking Và Khai Thác

bitcoinist55 phút trước

a16z: Kỷ nguyên AI, cuộc đua giành nhân tài giữa các công ty bắt đầu từ việc đặt tên chức danh

Giá trị của vị trí Kỹ sư Triển khai Tiền tuyến (FDE) không nằm ở sự mới mẻ, mà ở việc định nghĩa lại một loại công việc vốn bị đánh giá thấp: triển khai công nghệ trực tiếp tại khách hàng. A16z gọi chiến lược này là "Title Arbitrage" - tận dụng chênh lệch tên gọi vị trí. Khi một năng lực trở nên quan trọng trong tổ chức nhưng tên gọi cũ chưa phản ánh giá trị, việc đặt tên mới trước giúp chiếm lợi thế thu hút nhân tài và định hình nhận thức thị trường. Tên vị trí là ngôn ngữ tổ chức. Nó phản ánh sự thay đổi giá trị của công việc, như từ "lập trình viên" lên "kỹ sư phần mềm". Palantir đã thành công khi biến FDE từ một vị trí bị xem nhẹ thành một vị trí có uy tín, thu hút nhân tài kết hợp kỹ thuật và hiểu nghiệp vụ. Tuy nhiên, không phải tên gọi mới nào cũng có giá trị. Sự khác biệt giữa một chức danh mới thực sự và "lạm phát chức danh" nằm ở việc nó có đại diện cho một khối lượng công việc mới thực sự hay không. Ví dụ: "Kỹ sư Luật" (Legal Engineer) đại diện cho một năng lực mới kết hợp AI và nghiệp vụ, trong khi "Kỹ sư Prompt" (Prompt Engineer) nhanh chóng lỗi thời vì nó không ổn định thành một nghề độc lập. Trong kỷ nguyên AI, sự thay đổi sâu sắc là sự xuất hiện của những cá nhân có đòn bẩy cao trong tổ chức - những người biết sử dụng AI để tự động hóa quy trình và giải quyết vấn đề. Một tên gọi vị trí mới (như Legal Engineer, GTM Engineer) cung cấp tính hợp pháp cho họ và cơ chế nhận diện cho tổ chức. Đối với các startup AI phục vụ doanh nghiệp (B2B), việc đặt tên cũng là một chiến lược. Hãy nghĩ xem sản phẩm của bạn sẽ tạo ra vị trí công việc mới nào trong tổ chức khách hàng. Một tên gọi vị trí thành công sẽ củng cố nhận thức về sản phẩm của bạn. Khi ranh giới giữa sản phẩm và dịch vụ AI ngày càng mờ đi, các vị trí như FDE lại trở nên quan trọng. Thách thức không phải là loại bỏ hoàn toàn dịch vụ, mà là ai biết định danh, tổ chức và sản phẩm hóa được phần dịch vụ gần nhất với vấn đề thực tế của khách hàng và tạo ra thông tin chiều sâu cho sản phẩm. Ai nói rõ điều này trước, người đó sẽ chiếm được nhận thức của khách hàng.

marsbit1 giờ trước

a16z: Kỷ nguyên AI, cuộc đua giành nhân tài giữa các công ty bắt đầu từ việc đặt tên chức danh

marsbit1 giờ trước

Báo cáo tài chính đầu tiên sau IPO của CBRS: Doanh thu tăng gấp đôi nhưng chỉ dẫn biên lợi nhuận gộp sụt giảm mạnh, lộ trình thực hiện đơn hàng lớn từ OpenAI quá dài

Cerebras (CBRS) công bố báo cáo tài chính đầu tiên sau IPO, ghi nhận doanh thu cốt lõi quý 1/2026 đạt 191,3 triệu USD, tăng 92%, vượt kỳ vọng. Tuy nhiên, dự báo tỷ suất lợi nhuận gộp cốt lõi cho quý 2 giảm mạnh từ 46,5% xuống 36%-38%, khiến giá cổ phiếu giảm hơn 10% sau giờ giao dịch. Công ty đang chuyển đổi từ mô hình bán phần cứng sang cung cấp sức mạnh tính toán dưới dạng dịch vụ điện toán đám mây, dẫn đến sự thay đổi cơ cấu doanh thu. Việc thiếu công suất trung tâm dữ liệu buộc Cerebras phải thuê lại hệ thống từ khách hàng để đẩy nhanh việc triển khai cho hợp đồng lớn với OpenAI (trị giá hơn 20 tỷ USD), gây áp lực chi phí tạm thời. Mặc dù có hợp đồng lớn với OpenAI (dự kiến bắt đầu đóng góp doanh thu từ tháng 2/2026) và khuôn khổ hợp tác với AWS (dự kiến đóng góp từ năm 2027), Cerebras vẫn phụ thuộc cao vào hai thực thể liên kết từ UAE (chiếm 86% doanh thu năm tài chính 2025). Định giá hiện tại của CBRS ở mức cao, phản ánh kỳ vọng lớn vào việc thực hiện thành công các hợp đồng này và nắm bắt cơ hội trong thị trường điện toán suy luận AI đang phát triển. Tuy nhiên, các rủi ro bao gồm con đường phục hồi tỷ suất lợi nhuận không rõ ràng, sự cạnh tranh ngày càng tăng và điều khoản mở khóa cổ phiếu nội bộ không thông thường có thể được kích hoạt sớm.

marsbit1 giờ trước

Báo cáo tài chính đầu tiên sau IPO của CBRS: Doanh thu tăng gấp đôi nhưng chỉ dẫn biên lợi nhuận gộp sụt giảm mạnh, lộ trình thực hiện đơn hàng lớn từ OpenAI quá dài

marsbit1 giờ trước

Phỏng vấn CEO Strategy: Sau khi bán Bitcoin, liệu STRC có thể phục hồi?

Phong Le, CEO của MicroStrategy (MSTR), đã giải thích về việc công ty bán 32 Bitcoin gần đây trong một cuộc phỏng vấn. Ông nhấn mạnh rằng động thái này nhằm mục đích kiểm tra tính thanh khoản và quy trình nội bộ, chứ không phải do lo ngại về các giao thức DeFi sử dụng STRC (Strategy Preferred Stock). MicroStrategy, với tư cách là công ty nắm giữ Bitcoin lớn nhất, vẫn giữ vững niềm tin vào tài sản này và xem đây là chiến lược dài hạn. Le cho biết hơn 80% STRC do các nhà đầu tư cá nhân nắm giữ và phần lớn là các tổ chức đầu tư dài hạn, với tỷ lệ nắm giữ qua DeFi rất nhỏ. Việc bán Bitcoin một lượng nhỏ là để chứng minh khả năng tiếp cận tài sản cho các chủ nợ và thể hiện kỷ luật đối với các cơ quan xếp hạng. Ông cũng mô tả cơ chế ra quyết định minh bạch tại MicroStrategy, liên quan đến Hội đồng quản trị và các mô hình tài chính phức tạp, trái ngược với cấu trúc quyền lực tập trung ở một số công ty tiền mã hóa khác. Le khẳng định công ty có nhiều lựa chọn để huy động vốn, nhưng chiến lược "không làm gì cả" và kiên trì nắm giữ kho Bitcoin khổng lồ (hiện 845.000 BTC) là một lựa chọn quan trọng, đã được chứng minh trong thị trường giá xuống năm 2022. Về STRC, Le thừa nhận sản phẩm này còn non trẻ và giá hiện đang thấp hơn mệnh giá 100 USD. Ông tin rằng việc bổ sung dự trữ và cơ chế trả cổ tức bán nguyệt bắt đầu từ ngày 30/6 sẽ giúp STRC dần trở lại mệnh giá. Ông nhấn mạnh sản phẩm được thế chấp vượt mức và việc thanh toán cổ tức không phải là vấn đề. Cuối cùng, Le chia sẻ tầm nhìn về sự hội tụ giữa AI và Bitcoin, hình dung một tương lai nơi hàng nghìn tỷ tác nhân AI sẽ sử dụng mạng lưới phi tập trung và Bitcoin. Triết lý của MicroStrategy là thúc đẩy việc áp dụng Bitcoin rộng rãi thông qua nhiều kênh khác nhau, từ tự lưu giữ đến ETF.

marsbit2 giờ trước

Phỏng vấn CEO Strategy: Sau khi bán Bitcoin, liệu STRC có thể phục hồi?

marsbit2 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai
活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow