UPCX tạm dừng giao dịch sau vụ hack 70 triệu USD bộc lộ lỗ hổng bảo mật

Bối cảnh sự kiện

Theo thông báo chính thức từ UPCX, đội ngũ quản lý đã phát hiện "hoạt động trái phép" liên quan đến một tài khoản quản lý quan trọng vào ngày 1 tháng 4. Ngay lập tức, nền tảng này đã tạm dừng toàn bộ hoạt động gửi và rút tiền để ngăn chặn thiệt hại thêm, đồng thời tiến hành một cuộc điều tra nội bộ.

Công ty bảo mật blockchain Cyvers đã nhanh chóng vào cuộc và xác định rằng kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng thông minh (smart contract) của UPCX. Cụ thể, hacker đã giành quyền kiểm soát một ví quản trị, sửa đổi quyền của hợp đồng ProxyAdmin và kích hoạt chức năng "withdrawByAdmin" để chuyển 18,4 triệu token UPC – tương đương khoảng 70 triệu USD – sang một ví duy nhất.

Đáng chú ý, số token bị đánh cắp vẫn nằm im trong ví của hacker mà chưa có dấu hiệu chuyển đổi hay thanh khoản hóa, cho thấy kẻ tấn công có thể đang chờ thời cơ hoặc gặp khó khăn trong việc rửa tiền.

UPCX cam kết rằng tài sản của người dùng vẫn an toàn và không bị ảnh hưởng trực tiếp bởi vụ hack này, nhưng sự kiện đã khiến giá token UPC giảm 7%, từ mức 4,06 USD xuống còn 3,77 USD, theo dữ liệu từ CoinGecko.

Chi tiết sự kiện

Nghiên cứu cho thấy hack xảy ra vào ngày 1 tháng 4 năm 2025, khi hacker truy cập trái phép vào hợp đồng thông minh, có thể thông qua thông tin đăng nhập bị xâm phạm hoặc cơ chế kiểm soát truy cập yếu.

Họ nâng cấp hợp đồng ProxyAdmin và thực hiện chức năng 'withdrawByAdmin' để rút 18,4 triệu token UPC, trị giá khoảng 70 triệu USD tại thời điểm đó.

Hình ảnh đầu tiên từ Arkham Intelligence hiển thị ví 0xF7174D64192454382776E21dBF131b2a62B334 trên Ethereum, với giá trị 73,15 triệu USD, chủ yếu là UPC, và có chuyển khoản 18,473 triệu UPC (79,94 triệu USD) từ địa chỉ 0x0DDC693972AA473EB2d66A95Cd5ff090 cách đây 23 giờ.

Hình ảnh thứ hai từ Visualizer của Arkham, nhãn "Hacker: UPC (0xF7...)", cho thấy giao dịch vào ngày 1 tháng 4 năm 2025, với 18,473 UPC (79,937 triệu USD) và 1,993 triệu UPC (4,211 USD) đến địa chỉ 0x0DDC6309572A4B73EE2d66650AC9B5cd5ff0d0 và các hợp đồng staking, cho thấy nỗ lực rửa tiền.

Tác động: Giá token UPC giảm mạnh, ban đầu 5-7%, từ khoảng 4,02-4,06 USD xuống 3,52-3,77 USD, theo CoinGecko và CoinMarketCap. UPCX đã tạm dừng gửi và rút tiền, ảnh hưởng đến niềm tin của nhà đầu tư, với hàng trăm ví rút UPCX. Báo cáo cũng cho thấy hơn 80% thiệt hại Web3 năm 2024 đến từ các vấn đề tương tự, nhấn mạnh nhu cầu cải thiện bảo mật.

Chi tiết bất ngờ

Một chi tiết đáng chú ý là lượng token bị đánh cắp (18,4 triệu) vượt xa lượng lưu hành được báo cáo (4,14 triệu), theo CoinMarketCap Academy, gây lo ngại về phân phối hoặc quản lý token của UPCX, với tổng cung là 780 triệu UPC theo whitepaper. Điều này có thể chỉ ra vấn đề trong báo cáo hoặc dự trữ nội bộ bị ảnh hưởng.

Phân tích nguyên nhân và lỗ hổng bảo mật

Vụ hack UPCX là một ví dụ điển hình về những rủi ro liên quan đến bảo mật hợp đồng thông minh – một trong những điểm yếu cố hữu của các nền tảng blockchain.

Theo Meir Dolev, CTO của Cyvers, các cuộc tấn công tương tự trong năm 2025 thường bắt nguồn từ việc bị xâm phạm thông tin đăng nhập hoặc cơ chế kiểm soát truy cập yếu kém. Trong trường hợp của UPCX, việc hacker có thể sửa đổi hợp đồng ProxyAdmin cho thấy có thể đã tồn tại một lỗ hổng trong quản lý khóa riêng (private key) hoặc quy trình xác thực đa chữ ký (multi-signature) không được triển khai đầy đủ.

UPCX, với tư cách là một nền tảng thanh toán mã nguồn mở, phụ thuộc phần lớn vào hệ sinh thái Ethereum cho các hoạt động hợp đồng thông minh. Mặc dù đã ra mắt mạng chính (mainnet) và ví riêng, sự phụ thuộc này có thể đã khiến nền tảng dễ bị tấn công hơn, đặc biệt khi các ví quản lý tập trung một lượng lớn token.

Dữ liệu cho thấy chỉ có khoảng 4,14 triệu UPC token đang lưu hành trước vụ hack, trong khi hơn 50% nguồn cung nằm trong tay một số ít ví lớn, bao gồm cả ví của đội ngũ phát triển. Điều này đặt ra câu hỏi về tính minh bạch và phân phối token của dự án, đồng thời làm tăng mức độ nghiêm trọng của vụ việc khi số token bị đánh cắp vượt xa lượng lưu hành thực tế.

Kết luận và đánh giá

Vụ hack UPCX là một lời cảnh báo rõ ràng cho các dự án tiền điện tử về tầm quan trọng của bảo mật hợp đồng thông minh và quản lý tài sản. Các nền tảng cần đầu tư vào kiểm toán định kỳ, triển khai cơ chế đa chữ ký chặt chẽ và giám sát giao dịch theo thời gian thực để giảm thiểu rủi ro.

Đối với nhà đầu tư, sự kiện này nhấn mạnh tầm quan trọng của việc nghiên cứu kỹ lưỡng về tính bảo mật và phân phối token của dự án trước khi tham gia.