LML bị tấn công, thiệt hại 950.000 USD, giá đồng sụp đổ trong ngày 99,6%

Nền tảng giám sát an ninh trên chuỗi PeckShieldAlert (PeckShieldAlert) vào ngày 1 tháng 4 xác nhận rằng token LML đã bị tấn công có chủ đích, gây thiệt hại khoảng 950.000 USD, giá mua/bán gian lận giảm tới 99,6% trong thời gian ngắn, gần như về không. Ngay sau đó, kẻ tấn công đã chuyển đổi 950.000 USDT bị đánh cắp thành 450,6 ETH, nạp vào giao thức trộn tiền ẩn danh Tornado Cash để cắt đứt chuỗi theo dõi dòng tiền trên chuỗi.

Cốt lõi kỹ thuật của cuộc tấn công: lỗ hổng có thể bị thao túng giữa định giá TWAP và giá giao ngay

（Nguồn: Trading View）

Cuộc tấn công này đã khai thác một rủi ro thiết kế điển hình trong các giao thức đặt cược DeFi: logic tính toán phần thưởng sử dụng giá TWAP hoặc giá snapshot bị trễ, trong khi dòng tiền thực tế được bán bằng cách thực thi theo giá giao ngay tức thời; sự chênh lệch giá giữa hai bên tạo ra một cửa sổ arbitrage có thể bị thao túng.

Khi kẻ tấn công có thể cố tình đẩy giá giao ngay của token lên trong thời gian ngắn, thì lượng phần thưởng được tính theo TWAP—và được bán ở mức giá giao ngay cao do bị thao túng—sẽ mang lại lợi nhuận thực tế cao hơn nhiều so với bình thường. Quan trọng hơn, việc nhận phần thưởng và bán token có thể được thực hiện một cách nguyên tử trong cùng một chuỗi giao dịch, khiến các cơ chế quản lý rủi ro truyền thống khó can thiệp trước khi arbitrage khép lại. BlockSec cho biết, các khiếm khuyết thiết kế định giá TWAP như vậy không chỉ riêng ở LML; đã được phát hiện ở nhiều giao thức DeFi, nhưng nhiều giao thức đến nay vẫn chưa được củng cố đầy đủ nhằm vào các vectơ tấn công này.

Khôi phục các bước tấn công: thao túng đường đi từ địa chỉ số không đến tẩu tán bằng trộn tiền

Theo phân tích truy vết trên chuỗi của BlockSec, hoạt động của kẻ tấn công được chia thành các bước then chốt sau:

Thiết lập vị thế bằng cách nạp trước token: trước tiên nạp token vào giao thức đặt cược mục tiêu, giành quyền thực hiện chức năng claim trong các lần gọi sau

Kéo giá giao ngay bằng đường đi địa chỉ số không: thông qua đường dẫn giao dịch đặt người nhận là địa chỉ số không, cố tình làm giảm nguồn cung lưu thông và đẩy giá giao ngay LML lên

Gọi claim để nhận phần thưởng ở mức giá cao: ở đỉnh giao ngay do bị thao túng, dựa trên logic phần thưởng được tính theo TWAP hoặc snapshot để tính ra lượng token có thể nhận rất lớn

Bán ngay phần thưởng ở mức giá giao ngay cao: trong khi giá giao ngay vẫn đang ở mức cao do con người tạo ra, bán ngay để thu về khoảng 950.000 USDT

Đổi USDT sang ETH rồi nạp vào máy trộn: đổi 950.000 USDT thành 450,6 ETH và nạp vào Tornado Cash để cắt đứt khả năng truy vết trên chuỗi

Toàn bộ quy trình tấn công được hoàn tất theo cách nguyên tử trên chuỗi, không để lại “khoảng thời gian thất bại” theo nghĩa truyền thống.

Đường đi Tornado Cash và cảnh báo mang tính hệ thống về an toàn cho DeFi

Việc kẻ tấn công chọn Tornado Cash làm công cụ rửa tiền là một lộ trình quen thuộc trong các sự kiện tấn công DeFi. Tornado Cash phá vỡ khả năng truy vết của dòng tiền trên chuỗi thông qua các chứng minh không kiến thức (zero-knowledge proofs), khiến cơ quan thực thi pháp luật và các nhà nghiên cứu an ninh khó theo dõi được nơi đến cuối cùng, từ đó làm tăng đáng kể độ khó trong việc thu hồi tài sản.

Cuộc tấn công LML lần này vạch ra một vấn đề có ý nghĩa tham khảo rộng rãi trong toàn ngành. Cơ chế phát hành phần thưởng dựa vào định giá TWAP hoặc snapshot nhìn chung tồn tại rủi ro bị thao túng đối với các token có tính thanh khoản thấp—thanh khoản thấp đồng nghĩa với chi phí mà kẻ tấn công cần để đẩy giá giao ngay lên tương đối thấp, trong khi lợi nhuận từ arbitrage lại có thể cực cao. Các biện pháp cốt lõi để giao thức DeFi phòng ngừa các cuộc tấn công như vậy bao gồm: đưa độ trễ thời gian giữa việc nhận phần thưởng và bán token; giới hạn mức trần phần thưởng có thể được nhận bởi một địa chỉ trong thời gian ngắn; và thêm cơ chế bảo vệ dựa trên ngưỡng sai lệch giữa giá giao ngay tức thời và TWAP.

Câu hỏi thường gặp

Cuộc tấn công LML lần này đã lợi dụng cơ chế định giá TWAP như thế nào?

Cốt lõi của cuộc tấn công nằm ở sự “không nhất quán” giữa “cơ sở tính phần thưởng” và “cơ sở bán”. Giao thức dùng TWAP bị trễ hoặc giá snapshot để tính lượng phần thưởng có thể nhận, nhưng token có thể được bán trực tiếp theo giá giao ngay tức thời. Kẻ tấn công thao túng các đỉnh giao ngay một cách nhân tạo, rồi ngay lập tức nhận và bán; nhờ đó arbitrage “tính theo giá chậm, bán theo giá cao bị thao túng” trở nên khả thi, với mức lỗ trong một lần lên tới 950.000 USD.

Vì sao kẻ tấn công sử dụng đường đi địa chỉ số không để đẩy giá giao ngay LML?

Việc đặt người nhận là địa chỉ số không, xét về mặt kỹ thuật, là một thao tác kiểu “đốt” (burn)—chuyển token tới một địa chỉ không có ai kiểm soát, khiến token biến mất khỏi lưu thông. Điều này làm cho nguồn cung lưu thông mà thị trường nhìn thấy giảm mạnh, khiến giá giao ngay bị đẩy lên một cách nhân tạo. Thông thường kẻ tấn công sẽ dùng flash loan để tài trợ chi phí của thao tác này, hoàn thành thao túng giá mà không cần nắm giữ tài sản; toàn bộ quá trình có thể diễn ra trong một khối giao dịch duy nhất.

Sau khi nạp vào Tornado Cash, liệu tiền của kẻ tấn công có hoàn toàn không thể truy vết?

Tornado Cash làm tăng đáng kể độ khó trong việc truy vết, nhưng không đồng nghĩa với việc hoàn toàn không thể truy vết. Các công ty an ninh trên chuỗi có thể thực hiện phân tích liên kết thông qua thời điểm tham gia, đặc trưng về số tiền và các hành vi tiếp theo trên chuỗi; nếu kẻ tấn công cần chuyển ETH vào sàn giao dịch tập trung để rút tiền, thì quy trình KYC vẫn có thể làm lộ danh tính. PeckShield và các tổ chức như BlockSec đang tiếp tục giám sát các diễn biến tiếp theo của những địa chỉ liên quan.