1,58 triệu USD biến mất chỉ trong vài phút: Cách quyền quản trị của một token nhỏ bị chiếm đoạt
Các cơ chế bảo vệ yếu kém của một token vốn hóa nhỏ đã tạo điều kiện cho một cuộc chiếm quyền kiểm soát nhanh chóng, phơi bày rủi ro còn tồn tại trong các hệ thống bỏ phiếu DeFi.
Các công ty bảo mật blockchain hôm nay đã báo cáo một vụ tấn công trị giá 1.58 triệu USD nhằm vào Token of Power ($TOP), khi một kẻ tấn công giành quyền kiểm soát quản trị, tự ý tạo ra hàng tỷ token và rút sạch thanh khoản khỏi một pool Balancer V1.
Cách cuộc tấn công diễn ra
Một địa chỉ được cấp vốn qua Tornado Cash đã mua hơn 50% quyền biểu quyết của $TOP nhờ nguồn cung token hạn chế và giá trị thấp.
Với cơ chế DAO Aragon sử dụng MiniMeToken, kẻ tấn công nắm giữ hơn một nửa tổng nguồn cung 16,384 TOP.
Chỉ với một giao dịch, họ đã tạo, tự bỏ phiếu và thực thi một đề xuất xấu, kích hoạt TokenManager in thêm 10 tỷ TOP trực tiếp vào hợp đồng của chính kẻ tấn công.
Số token mới được tạo ra sau đó đã được trao đổi lấy 944.2 WETH (xấp xỉ 1.585 triệu USD) trong pool TOP/WETH tại Balancer V1, khiến pool này cạn kiệt thanh khoản.
🚨ALERT🚨Our system has detected a suspicious transaction involving Token of Power ($TOP), resulting in losses of approximately $1.58 million.An address funded through @TornadoCash executed a malicious transaction that drained funds from the TOP/WETH Balancer V1 Pool.The… pic.twitter.com/ewpQTmDA8s
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) June 9, 2026
Theo dõi chúng tôi trên X để cập nhật tin tức mới nhất ngay khi chúng xảy ra
Cảnh báo bảo mật được đưa ra
BlockSec Phalcon đã phân tích chi tiết về cơ chế của vụ tấn công và kêu gọi các dự án cần kiểm tra ngay lập tức:
“Các dự án sử dụng mô hình quản trị tương tự Lido/Aragon nên rà soát kỹ phân bổ quyền biểu quyết, ngưỡng khóa biểu quyết/quorum, quyền in token và các biện pháp bảo vệ quản trị liên quan.”
Số tiền bị đánh cắp đã được chuyển trở lại qua Tornado Cash, khiến việc truy vết và thu hồi gặp nhiều khó khăn. Không có thiệt hại nào cho giao thức cốt lõi của Balancer.
Bối cảnh thị trường và ảnh hưởng tới nhà đầu tư
Vụ tấn công này tiếp tục nối dài chuỗi các vụ tấn công chiếm quyền kiểm soát các dự án DeFi nhỏ trong năm 2026, nơi mà thanh khoản thấp và các điều kiện lỏng lẻo khiến việc chiếm đoạt trở nên dễ dàng, chi phí thấp.
Dù các giao thức lớn đã nâng cấp biện pháp phòng thủ với thời gian chờ và ngưỡng biểu quyết cao hơn, nhiều token mới vẫn còn nhiều lỗ hổng.
Nhà đầu tư nhỏ lẻ tham gia vào các token vốn hóa thấp hoặc cung cấp thanh khoản nên kiểm tra các thông số quản trị, giám sát giao dịch tích trữ token lớn, và tránh những pool chưa kiểm định.
Các dự án sử dụng hạ tầng tương tự sẽ phải đối diện với sự giám sát chặt chẽ hơn và áp lực nâng cấp mạnh mẽ.
Đối với hệ sinh thái DeFi nói chung, sự việc này là lời nhắc nhở kịp thời: thiết kế quản trị vững chắc vẫn là yếu tố cốt lõi để bảo vệ tài sản của người dùng giữa thời đại các cuộc tấn công ngày càng tinh vi và ít tốn kém.
Hãy luôn cảnh giác và ưu tiên lựa chọn các dự án sử dụng thông số đã được kiểm toán, kiểm chứng kỹ càng.
Bài viết đề xuất
