Sàn DEX hàng đầu của Base, Aerodrome, bị tấn công bảo mật
Aerodrome Finance, sàn giao dịch phi tập trung (DEX) hàng đầu trên mạng Base, xác nhận đang điều tra một vụ nghi vấn tấn công DNS khiến các tên miền tập trung của dự án bị chiếm quyền điều khiển.

Giao thức cảnh báo người dùng không truy cập các tên miền .finance và .box chính, thay vào đó hãy sử dụng hai bản mirror phi tập trung an toàn được lưu trữ trên hạ tầng ENS.
Vụ tấn công diễn ra rất nhanh, với nhiều người dùng báo cáo các yêu cầu ký độc hại, nhắm tới việc rút nhiều loại tài sản, bao gồm NFT, ETH và USDC, thông qua các lệnh phê duyệt không giới hạn.
Đội ngũ Aerodrome khẳng định mọi smart contract vẫn an toàn, tuy nhiên phần frontend bị xâm nhập đã để lộ người dùng trước các chiêu thức lừa đảo tinh vi, có thể khiến ví tiền điện tử bị rút hết nếu không theo dõi cẩn thận các giao dịch phê duyệt.
Tấn công DNS buộc giao thức phải đóng khẩn cấp
Đội ngũ Aerodrome phát hiện hoạt động bất thường trên cơ sở hạ tầng tên miền chính khoảng 6 giờ trước khi đưa ra cảnh báo công khai.
Giao thức nhanh chóng đánh dấu Box Domains – nhà cung cấp tên miền – là có khả năng bị tấn công và yêu cầu phản hồi khẩn cấp.
Chỉ trong vài giờ, nhóm xác nhận cả hai tên miền tập trung, .finance và .box, đã bị chiếm và vẫn nằm dưới quyền kiểm soát của kẻ tấn công.
Để ứng phó, Aerodrome đóng truy cập tất cả các URL chính và thiết lập hai bản mirror đã xác thực: aero.drome.eth.limo và aero.drome.eth.link.
Các mirror này sử dụng Ethereum Name Service (ENS), hoạt động độc lập với hệ thống DNS truyền thống vốn dễ bị tấn công.
Đội ngũ nhấn mạnh rằng smart contract vẫn an toàn hoàn toàn, và vụ xâm nhập chỉ giới hạn ở giao diện frontend.
Giao thức “chị em” Velodrome cũng gặp các mối đe dọa tương tự, buộc nhóm phát hành cảnh báo song song về bảo mật tên miền.
Mức độ đồng loạt của các cảnh báo cho thấy kẻ tấn công có thể nhắm tới cơ sở hạ tầng của Box Domains để xâm nhập nhiều dự án DeFi cùng lúc.
Người dùng báo cáo các nỗ lực rút tài sản đa dạng
Một người dùng bị ảnh hưởng kể lại trải nghiệm trên giao diện độc hại trước khi cảnh báo được phát đi, mô tả một cuộc tấn công hai giai đoạn.
Giao diện bị chiếm đầu tiên yêu cầu một chữ ký “vô hại”, chỉ chứa số “1”, nhằm thiết lập kết nối ví.
Ngay sau đó, giao diện lập tức kích hoạt hàng loạt yêu cầu phê duyệt không giới hạn cho NFT, Ethereum (ETH), USDC và WETH.
“Nó yêu cầu một chữ ký đơn giản, rồi lập tức cố gắng phê duyệt vô hạn để rút NFT, ETH và USDC. Nếu không chú ý, bạn có thể mất hết tất cả,” người dùng cho biết.
Người này đã ghi lại quá trình tấn công bằng ảnh chụp màn hình và video, từ yêu cầu chữ ký ban đầu tới các nỗ lực rút tài sản.
Qua quá trình điều tra, với sự hỗ trợ của AI, họ kiểm tra cấu hình trình duyệt, extension, DNS và RPC endpoints, kết luận mô hình tấn công phù hợp với phương pháp DNS hijacking.
Một thành viên cộng đồng khác, tự nhận là developer kỳ cựu, cũng bị mất một khoản đáng kể dù đã có kinh nghiệm. Sau 3 ngày lập script dựa trên Jito bundle, họ chỉ hồi phục được khoảng 10–15% tài sản bị đánh cắp thông qua các hoạt động stealth on-chain.
Tháng 11 ghi nhận mức thiệt hại hack crypto thấp nhất trong năm
Vụ Aerodrome xuất hiện trong bối cảnh thị trường ghi nhận mức thiệt hại do hack thấp nhất trong năm.
Theo dữ liệu từ PeckShield, chỉ 18,18 triệu USD bị đánh cắp qua 15 vụ việc riêng lẻ, giảm mạnh 85,7% so với 127,06 triệu USD của tháng 9.
Nếu không có vụ Garden Finance cuối tháng, tổng thiệt hại sẽ chỉ khoảng 7,18 triệu USD – mức thấp nhất một tháng kể từ đầu 2023.
Các vụ lớn nhất diễn ra tại Garden Finance, Typus Finance và Abracadabra, chiếm tổng cộng 16,2 triệu USD bị đánh cắp.
- Garden Finance – giao thức P2P Bitcoin – công bố ngày 30/10 bị khai thác hơn 10 triệu USD sau khi một solver bị xâm nhập. Thiệt hại chỉ giới hạn ở inventory của solver này.
- Typus Finance bị tấn công oracle vào ngày 15/10, rút khoảng 3,4 triệu USD từ liquidity pool, xuất phát từ lỗi trong hợp đồng TLP, khiến token gốc giảm khoảng 35%.
- Abracadabra, nền tảng DeFi lending, chịu exploit lần thứ ba kể từ khi ra mắt, mất khoảng 1,8 triệu USD MIM stablecoin do hacker vượt qua kiểm tra solvency thông qua lỗ hổng smart contract.