Sàn giao dịch phi tập trung (DEX) CoW Swap đã tạm dừng giao thức của mình sau khi phát hiện một lỗ hổng bảo mật trên trang web chính thức của họ. Sự cố này đã khiến giao diện người dùng (UI) của sàn bị xâm phạm, dẫn đến việc hiển thị một thông báo giả mạo yêu cầu người dùng phê duyệt một giao dịch cho phép chi tiêu không giới hạn.
Trong một bài đăng trên X, nhóm phát triển CoW Swap đã xác nhận rằng trang web chính thức của họ, cowswap.exchange, đã bị xâm phạm. Họ khuyến cáo người dùng không nên tương tác với giao diện web cho đến khi vấn đề được giải quyết.
Chi tiết về cuộc tấn công
Thông báo giả mạo xuất hiện trên giao diện bị xâm phạm yêu cầu người dùng phê duyệt một giao dịch “Permit2”. Nếu được phê duyệt, giao dịch này sẽ cấp cho kẻ tấn công quyền chi tiêu không giới hạn đối với tất cả các token mà người dùng đã ủy quyền thông qua hợp đồng Permit2. Permit2 là một giao thức ủy quyền token phổ biến được sử dụng bởi nhiều ứng dụng DeFi, bao gồm cả CoW Swap, để hợp lý hóa các giao dịch.
Nhà nghiên cứu bảo mật Spreek đã đăng cảnh báo về vụ việc, mô tả nó là một “cuộc tấn công cấp phép (approval) trên giao diện web.” Anh ấy cảnh báo rằng bất kỳ ai đã phê duyệt giao dịch từ giao diện bị xâm phạm đều nên hủy ủy quyền ngay lập tức.
Phản ứng và biện pháp đối phó
Để đối phó với cuộc tấn công, nhóm CoW Swap đã tạm dừng tất cả các lệnh giao dịch trên giao thức. Họ cũng đã vô hiệu hóa giao diện web bị xâm phạm và đang làm việc để khôi phục một phiên bản an toàn. Người dùng được khuyến cáo nên sử dụng các giao diện thay thế do cộng đồng cung cấp, chẳng hạn như những giao diện được lưu trữ trên IPFS, hoặc tương tác trực tiếp với các hợp đồng thông minh của giao thức.
Trong một bản cập nhật tiếp theo, nhóm CoW Swap cho biết họ đã xác định được nguyên nhân gốc rễ và đang tiến hành khôi phục. Họ cũng nhấn mạnh rằng các hợp đồng cốt lõi của giao thức vẫn an toàn và không bị ảnh hưởng.
CoW Swap, hoạt động trên cả mạng Ethereum và Gnosis Chain, là một sàn giao dịch phi tập trung sử dụng cơ chế đối sánh lệnh dựa trên giải pháp CoW (Coincidence of Wants) để tối ưu hóa giá và giảm phí gas cho người dùng.
Theo Coinphoton
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, Tienmahoa.Net hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
