Chiếc bot MEV hạng nhất bị đánh cắp 7,5 triệu đô la: Có phải Approval mới là rủi ro chết người dễ bị bỏ qua nhất trên blockchain?
Một bot MEV lâu năm trên Ethereum, vốn chuyên "săn" các giao dịch thông thường, cuối cùng đã rơi vào một cái bẫy "tùy chỉnh" trị giá 7,5 triệu USD. Vào ngày 21/6, bot Jaredfromsubway.eth nổi tiếng với chiến lược tấn công sandwich đã bị tấn công, với tài sản như WETH, USDC bị chuyển đi, thiệt hại ước tính hơn 7,5 triệu USD.
Điểm đáng chú ý là cuộc tấn công này không liên quan đến lộ khóa riêng tư hay lỗ hổng hợp đồng thông minh truyền thống. Thay vào đó, kẻ tấn công đã bỏ công sức trong nhiều tuần để tạo ra một môi trường giao dịch giả mạo, bao gồm các token, nhóm thanh khoản và hợp đồng phụ trợ độc hại. Chúng đánh lừa bot MEV, khiến nó tự động cấp phép (Approval) ERC-20 cho các hợp đồng độc hại này, từ đó "hợp pháp" chuyển đi tài sản của bot.
Sự kiện này một lần nữa gióng lên hồi chuông cảnh báo về rủi ro tiềm ẩn lớn từ cơ chế Approval – một thao tác cơ bản nhưng dễ bị đánh giá thấp trong hệ sinh thái EVM. Approval cho phép hợp đồng thông minh chi tiêu token thay mặt người dùng, tương tự như tính năng thanh toán tự động. Tuy nhiên, các thói quen như cấp phép vô hạn (unlimited approval), không thu hồi phép khi ngừng sử dụng DApp, hay việc hợp đồng được ủy quyền sau này có thể bị xâm phạm, đều tạo ra lỗ hổng bảo mật lâu dài.
Để quản lý rủi ro Approval, người dùng nên tuân thủ nguyên tắc "quyền tối thiểu" – chỉ cấp phép đủ số lượng cần thiết cho giao dịch. Nên tách biệt ví lưu trữ chính và ví tương tác với các DApp mới/rủi ro. Quan trọng nhất là cần thường xuyên kiểm tra và thu hồi (revoke) các ủy quyền không còn cần thiết thông qua các công cụ như Revoke.cash hoặc tính năng quản lý ủy quyền trong ví (ví dụ: imToken).
Về phía các nhà cung cấp ví, cần nâng cao khả năng phòng thủ chủ động bằng cách cảnh báo rủi ro, phân tích cấu trúc và hiển thị nội dung ký (signing) một cách dễ đọc cho người dùng, hướng tới tiêu chuẩn "ký gì thấy đó" (What You See Is What You Sign).
Tóm lại, bảo mật trong Web3 không chỉ là bảo vệ khóa riêng tư, mà còn là việc quản lý chủ động và hiểu biết về các ủy quyền hợp đồng – những "cánh cửa sau" có thể vẫn mở ngay cả khi người dùng đã lãng quên chúng.
marsbit06/24 05:30