Hacker đánh cắp gần 17 triệu đô la trong 40 ngày, 'hợp đồng zombie' đang biến thành máy rút tiền của hacker
**Tóm tắt: Hợp đồng thông minh "zombie" - máy rút tiền mới của hacker**
Trong vòng 40 ngày (từ 07/05 đến 15/06/2026), tin tặc đã đánh cắp gần 17 triệu USD từ 5 hợp đồng thông minh cũ, đã ngừng sử dụng nhưng vẫn tồn tại trên blockchain.
Sự cố nghiêm trọng nhất là với hợp đồng DxSale V1 Locker (mất ~7.3 triệu USD). Các nền tảng khác bao gồm TrustedVolumes, Huma Finance V1, Raydium Legacy AMM và Aztec Connect.
Vấn đề cốt lõi không phải là một lỗ hổng cụ thể, mà nằm ở việc các hợp đồng cũ khi "nghỉ hưu" không được xử lý triệt để. Dù không còn được đội ngũ phát triển bảo trì, chúng vẫn giữ giá trị kinh tế (tiền, quyền ủy quyền) và có thể thực thi giao dịch, biến thành mục tiêu hoàn hảo.
Các hợp đồng này thường bị lãng quên, giám sát lỏng lẻo và vẫn giữ các giả định bảo mật lỗi thời. Trong khi đó, chi phí để tin tặc tự động hóa quét tìm các mục tiêu "dài hạn" như vậy đang ngày càng giảm nhờ các công cụ phân tích mã, mô phỏng giao dịch và AI.
Ngành công nghiệp DeFi đã có quy trình kiểm toán chặt chẽ trước khi triển khai, nhưng lại thiếu kỷ luật tương tự cho giai đoạn "khai tử" hợp đồng. Một hợp đồng chỉ thực sự an toàn khi mọi giá trị, quyền hạn, quyền truy cập và giả định đáng tin cậy đã được loại bỏ hoàn toàn.
marsbit06/26 09:14