Một vụ tấn công mạng quy mô lớn vừa xảy ra trong không gian tài chính phi tập trung, khi thực thể giao dịch tự động có biệt danh Jaredfromsubway bị rút cạn số tiền lên tới 15 triệu USD. Đây là một trong những hệ thống vận hành tự động nổi tiếng và hoạt động mạnh mẽ nhất trên mạng lưới Ethereum từ trước đến nay. Sự cố này không chỉ gây thiệt hại lớn về tài sản, mà còn bộc lộ những lỗ hổng bất ngờ trong cách thức hoạt động của các chương trình giao dịch thông minh vốn được coi là tối tân.
Thủ đoạn tinh vi bẫy thực thể săn mồi
Theo các ghi nhận từ chuỗi khối, hệ thống giao dịch Jaredfromsubway vốn nổi tiếng với việc liên tục quét và tìm kiếm lợi nhuận từ các giao dịch của người dùng khác đã rơi vào một cái bẫy được thiết kế vô cùng tinh vi.
Những kẻ đứng sau phi vụ này đã chủ động tạo ra hàng loạt mã thông báo giả mạo mô phỏng các đồng tiền ổn định và phổ biến hiện nay bao gồm các phiên bản giả lập của những đồng tiền kỹ thuật số lớn trên thị trường như fWETH, fUSDC, fUSDT,... Đồng thời, chúng cũng thiết lập các bể thanh khoản ảo để tạo ra vẻ bề ngoài như một cơ hội đầu tư sinh lời cực kỳ lý tưởng cho các thuật toán.
Chính sự xuất hiện của các bể thanh khoản mồi này đã thu hút thuật toán tự động của Jaredfromsubway. Do được lập trình để liên tục tối ưu hóa lợi nhuận trong thời gian ngắn, hệ thống thông minh này đã nhanh chóng tham gia vào bẫy giao dịch mà không hề hay biết rằng toàn bộ cấu trúc phía sau đã bị thao túng hoàn toàn bởi thực thể lừa đảo.
Lỗ hổng từ quyền phê duyệt hợp đồng
Yếu tố cốt lõi dẫn đến thiệt hại khổng lồ nằm ở việc hệ thống tự động đã cấp quyền phê duyệt cho các hợp đồng thông minh do kẻ tấn công kiểm soát. Trong thị trường tài chính phi tập trung, việc cấp quyền phê duyệt đồng nghĩa với việc cho phép một địa chỉ khác có quyền định đoạt số tài sản trong ví của mình. Khi Jaredfromsubway thực hiện tương tác với các mã thông báo giả, hệ thống đã vô tình kích hoạt điều khoản nguy hiểm cho phép bên lừa đảo tiếp cận kho lưu trữ tài sản chính.
Ngay sau khi có được sự chấp thuận từ hệ thống tự động, kẻ tấn công đã lập tức thực hiện lệnh rút tiền và chiếm đoạt thành công 15 triệu USD. Đối với những người chưa quen thuộc với thị trường này, các thực thể tự động như Jaredfromsubway hoạt động giống như các đại lý thuật toán nhằm tìm kiếm chênh lệch giá trong tích tắc. Tuy nhiên, khi đối mặt với một chiến lược lừa đảo có tính toán kỹ lưỡng, thuật toán máy tính đã hoàn toàn thất bại trong việc phân biệt giữa dòng tiền thật và cạm bẫy kỹ thuật.
The MEV bot jaredfromsubway was exploited for $7.7M!
— Lookonchain (@lookonchain) June 21, 2026
Including:
1,583.5 $ETH($2.75M)
2.87M $USDC
2.09M $USDT
The attacker has already swapped all the funds for 4,427 $ETH($7.7M).
So far, 1,000 $ETH has been deposited into #TornadoCash for laundering.https://t.co/HtASjgLM11 pic.twitter.com/LdneXLw0Vq
Bài học về an toàn đối với công nghệ giao dịch
Sự việc lần này là một hồi chuông cảnh báo mạnh mẽ cho các nhà phát triển hệ thống giao dịch tự động trong không gian chuỗi khối. Việc quá tin tưởng vào các thông số kỹ thuật bề nổi mà thiếu đi cơ chế kiểm tra tính xác thực chuyên sâu của mã thông báo có thể dẫn đến những hậu quả vô cùng nghiêm trọng.
Giới chuyên gia nhận định rằng các cuộc tấn công nhắm vào thực thể tự động đang ngày càng trở nên phổ biến và có độ phức tạp cao hơn, đòi hỏi các biện pháp bảo mật phải được cập nhật liên tục để bảo vệ nguồn vốn.
Hiện tại, cộng đồng nhà đầu tư đang theo dõi sát sao các động thái tiếp theo từ phía quản trị hệ thống Jaredfromsubway để xem liệu có biện pháp khắc phục hay truy vết dòng tiền nào được triển khai hay không. Sự cố chắc chắn sẽ thay đổi cách thức vận hành của nhiều hệ thống giao dịch thuật toán trong tương lai gần nhằm tránh lặp lại sai lầm tương tự.
