70 triệu đô la bị đánh cắp từ vụ hack hợp đồng thông minh chưa được ủy quyền của UPCX

Theo cảnh báo bảo mật được đưa ra vào ngày 1 tháng 4, một thực thể trái phép đã rút khoảng 70 triệu đô la tài sản kỹ thuật số khỏi UPCX, một nền tảng thanh toán nguồn mở.

Công ty bảo mật tiền điện tử Cyvers, đã theo dõi và vạch trần một số tội phạm mạng lớn, đã xác địnhsự vi phạm liên quan đến 18,4 triệu mã thông báo UPC.

Cyvers báo cáo rằng kẻ tấn công đã truy cập được vào địa chỉ UPCX và sửa đổi hợp đồng ProxyAdmin.

Bằng cách lợi dụng chức năng quản lý, kẻ gian đã thực hiện hành vi rút tiền từ ba tài khoản quản lý riêng biệt.

Nhiều giao dịch đáng ngờ đã được ghi lại, khiến UPCX phải thừa nhận vi phạm, mặc dù công ty chỉ cung cấp thông tin chi tiết hạn chế về các biện pháp bảo mật của mình.

Trong khi UPCX hạ thấp chi tiết cụ thể, những phát hiện của Cyvers lại nêu bật quy mô của cuộc tấn công.

Là một hệ thống thanh toán tiền điện tử mã nguồn mở, UPCX hiện phải đối mặt với một cuộc khủng hoảng bảo mật đáng kể có thể ảnh hưởng đến uy tín và hoạt động trong tương lai của hệ thống.

Hacker vẫn giữ tài sản

Những kẻ tấn công đã đánh cắp nhiều token UPC hơn số lượng đang lưu hành hiện nay và vẫn chưa bán bất kỳ tài sản nào.

Bản sắc và chiến lược của họ để chuyển đổitiền bị đánh cắp vẫn chưa rõ ràng.

Tính đến thời điểm viết bài này, các mã thông báo vẫn chưa được hoán đổi sang các loại tiền điện tử khác.

Sau khi khai thác, ví của tin tặc đã trở thành ví nắm giữ UPC lớn thứ bảy.

Vài giờ sau khi vi phạm,tất cả các mã thông báo bị đánh cắp vẫn còn nguyên vẹn trong ví , có thể là do tính thanh khoản và các lựa chọn giao dịch hạn chế.

Bản thân ví này mới được tạo, không có hoạt động nào trước đó ngoại trừ một giao dịch thử nghiệm nhỏ 10 UPC chỉ vài phút trước cuộc tấn công chính.

Đáng chú ý, tin tặc thậm chí không gửi ETH để lấy phí gas mà thay vào đó tương tác trực tiếp với hợp đồng token, thực hiện chuyển tiền với chi phí tối thiểu và không qua bất kỳ bước trung gian nào.

UPC giảm 7% sau khi vi phạm an ninh, phục hồi nhẹ

UPCX xác nhận đã phát hiện "hoạt động trái phép" trong các tài khoản quản lý của mình và đã tạm dừng việc gửi và rút tiền.

Nhóm đảm bảo với người dùng rằng tài sản của họ không bị ảnh hưởng và đang tích cực điều tra vụ vi phạm.

Sau khi khai thác, các mã thông báo UPC bị đánh cắp đã được hợp nhất thành một địa chỉ duy nhất.

Với điều kiện là UPC chỉ được giao dịch trênCổng.IO và MEXC, với nguồn thanh khoản hạn chế, khả năng bán tháo tài sản của tin tặc có thể bị hạn chế.

Sự cố này đã gây ra sự sụt giảm giá, với việc UPC giảm 7% từ mức cao là 4,06 đô la xuống mức thấp là 3,77 đô la trước khi phục hồi nhẹ lên mức 4,01 đô la.theo CoinMarketCap.

UPC Hack cho thấy xu hướng tấn công lặp lại

Nhà đồng sáng lập kiêm giám đốc công nghệ của Cyvers, Meir Dolev, tuyên bố rằng trong khi nguyên nhân gốc rễ của cuộc tấn công vẫn đang được điều tra, các vi phạm tương tự thường là do thông tin đăng nhập bị xâm phạm hoặc kiểm soát truy cập yếu - những yếu tố gây ra hơn 80% tổn thất trên Web3 vào năm 2024.

Dolev phát biểu:

“Sự cố này phản ánh các kiểu tấn công mà chúng tôi đã ghi nhận trong các lần khai thác trước đó, trong đó quyền truy cập vào các vai trò quản trị quan trọng cho phép nâng cấp độc hại và rút tiền.”

Dolev lưu ý rằng cuộc tấn công này tuân theo các mô hình đã thấy trong các cuộc khai thác trước đó, nhấn mạnh nhu cầu cấp thiết về quyền ví mạnh hơn, bảo mật đa chữ ký và xác thực giao dịch theo thời gian thực.

Vụ trộm 70 triệu đô la này cao gấp đôi số tiền 33 triệu đô la bị mất do tin tặc tấn công tiền điện tử vào tháng 3, cho thấy quy mô ngày càng gia tăng của các mối đe dọa như vậy.

Không Có Nhiều Sự Loạn Lạc Gây Ra Mặc Dù Có Hack

Mặc dù quá trình phát triển UPCX bắt đầu vào cuối năm 2023, nhưng hoạt động đáng kể chỉ diễn ra vào đầu năm 2025.

Tuy nhiên, dự án này vẫn còn khá mơ hồ so với các nền tảng thanh toán Web3 khác.

Trong khi 70 triệu đô lasự vi phạm là một đòn giáng mạnh vào UPCX, tác động rộng hơn của nó tới thị trường vẫn chưa chắc chắn.

Vụ hack tiền điện tử lớn nhất trong lịch sử xảy ra cách đây hơn một tháng và hậu quả của nó vẫn còn tiếp diễn.

Ngược lại, UPCX chỉ là một nhân tố nhỏ—lời thừa nhận về vụ xâm phạm X của UPCX chỉ nhận được hơn 12.000 lượt xem tại thời điểm viết bài.

Đáng chú ý là ví của tin tặc vẫn chưa chuyển số token UPC bị đánh cắp, làm dấy lên câu hỏi về cách chúng định rút tiền.

Do số tiền bị đánh cắp lớn gấp gần năm lần lượng cung lưu hành nên bất kỳ nỗ lực thanh lý nào cũng có thể gây ra sự sụt giảm giá mạnh.

Vụ vi phạm UPCX nổi bật vì quy mô lớn nhưng lại không gây gián đoạn thị trường.

Nếu các nhà điều tra có thể theo dõi những kẻ tấn công và đóng băng tài sản, thiệt hại có thể được hạn chế.

Nếu không, mối đe dọa thanh lý có thể ảnh hưởng đến quá trình phục hồi của UPC trong tương lai gần.