Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
CFD
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
GateRouter
Lựa chọn thông minh từ hơn 40 mô hình AI, với 0% phí bổ sung
Một va chạm băm duy nhất đã xóa sạch 96% MAPO – Đây là những gì đã xảy ra
MAPO sụp đổ hơn 96% sau một lỗ hổng va chạm băm trên Butter Bridge khiến kẻ tấn công có thể tạo ra gần 1 quadrilion token. MAP Protocol đã tạm ngưng giao dịch và lên kế hoạch cho một hợp đồng mới.
Token không rút ra từ từ. MAPO giảm hơn 96% trong vòng vài giờ sau khi kẻ tấn công tìm ra cách thuyết phục Butter Bridge rằng nó đã xử lý một giao dịch hợp lệ.
Công ty an ninh Blockaid đã báo cáo vụ việc trên X, xác định mục tiêu là Butter Bridge V3.1, còn gọi là OmniServiceProxy. Theo Blockaid trên X, kẻ tấn công đã lừa cầu nối trên cả Ethereum và BSC, tạo ra khoảng 1 quadrilion MAPO trực tiếp vào một ví mới. Tổng cung lưu hành hợp pháp khoảng 208 triệu. Chính phép tính đó đã giải thích phần lớn hành động giá.
Lỗ hổng mà Không ai báo trước cho đến khi quá muộn
Nguyên nhân gốc rễ không phải là rò rỉ khóa. Nó không phải là vấn đề với hợp đồng của MAPO. Theo phân tích kỹ thuật của Blockaid trên X, cầu nối xác thực các lần thử lại tin nhắn chéo chuỗi bằng cách sử dụng keccak256(abi.encodePacked(…)) qua bốn trường dynamic-bytes liên tiếp. Vấn đề: abi.encodePacked không thêm tiền tố độ dài. Các phân bổ trường khác nhau có thể tạo ra cùng một chuỗi byte, và do đó cùng một hash.
Kẻ tấn công đã cài đặt một tin nhắn MAP-to-ETH có chữ ký oracle thực, trỏ đến một địa chỉ đã tính trước. Chưa có hợp đồng nào tồn tại tại đó. Cầu nối đã lưu cache một lần thử lại “NotContract”. Sau đó, hợp đồng khai thác được triển khai đến chính xác địa chỉ đó.
Tiếp theo là một chuỗi gồm ba bước. Theo Blockaid trên X, kẻ tấn công đã gọi retryMessageIn bằng cách sắp xếp lại các ranh giới trường sao cho phù hợp với chuỗi 601 byte giống hệt. Cùng hash, cùng vượt qua kiểm tra. Cầu nối đã tạo ra 10^15 MAPO trực tiếp vào ví của kẻ tấn công.
Các khai thác cầu nối chéo chuỗi tạo ra token không được phép đã trở thành một mẫu lặp lại trong hạ tầng DeFi năm nay.
52 ETH đã mất. Gần một quadrilion token vẫn còn đó
Kẻ tấn công đã hành động nhanh chóng. Blockaid xác nhận trên X rằng 52,21 ETH, khoảng 180.000 USD, đã bị rút khỏi pool ETH/MAPO của Uniswap V4 sau khi khoảng 1 tỷ MAPO bị đổ vào đó. Con số nghe có vẻ lớn. Nó cũng ít hơn 0,001% số token mà kẻ tấn công nắm giữ.
Khoảng 999,999 tỷ MAPO còn lại trong ví của kẻ tấn công tại thời điểm báo cáo, theo Blockaid. Giao dịch khai thác có thể xem trên Etherscan tại 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. Địa chỉ của kẻ tấn công là 0x40592025392BD7d7463711c6E82Ed34241B64279 và hợp đồng khai thác nằm tại 0x2475396A308861559EF30dc46aad6136367a1C30.
MAP Protocol xác nhận đã nhận thức được vụ việc trên X cùng ngày. MAP Protocol cho biết nhóm đã biết và phối hợp với các đối tác an ninh bên ngoài để điều tra và kiểm soát thiệt hại. Cầu nối giữa MAPO ERC-20 và mainnet MAPO đã bị tạm dừng.
MAP Protocol chuyển sang vô hiệu hóa các khoản nắm giữ của kẻ tấn công
Vào ngày hôm sau, phản ứng chuyển từ kiểm soát sang sửa đổi cấu trúc. MAP Protocol thông báo trên X về việc tạm ngưng tất cả dịch vụ chuyển đổi giữa các token MAPO tại địa chỉ hợp đồng ERC20 gốc 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 trên cả mạng BSC và Ethereum, cũng như MAPO trên mainnet của MAP Protocol.
Tất cả các sàn giao dịch liên quan đã được thông báo vô hiệu hóa gửi tiền và rút tiền cho các token này, nhóm cho biết. Người dùng được cảnh báo tránh giao dịch MAPO liên quan đến hợp đồng gốc trên các nền tảng phi tập trung, bao gồm Uniswap và PancakeSwap.
Một địa chỉ hợp đồng mới sẽ được công bố. Một bản chụp nhanh sẽ được thực hiện vào ngày mà dự án cho là phù hợp. Bất kỳ token nào còn nắm giữ bởi các địa chỉ do kẻ tấn công kiểm soát, hiện lên đến hàng trăm tỷ, sẽ bị loại hoàn toàn khỏi bất kỳ chuyển đổi hoặc bản chụp nhanh nào trong tương lai.
MAP Protocol cũng đã nhắc trên X, trong một phản hồi xác nhận theo dõi vụ việc của PeckShield, rằng nhóm đã phối hợp với các sàn giao dịch và đối tác kể từ khi xảy ra vi phạm. Một tuyên bố chính thức về các bước tiếp theo, chi tiết bản chụp nhanh và hợp đồng mới đang được chuẩn bị.
Các sự cố cầu nối đã gây ra phần thiệt hại không cân xứng trong thị trường tiền điện tử năm 2026, khi các kẻ tấn công liên tục nhắm vào các điểm giao nhau nơi tự động hóa và niềm tin chồng chéo.
Người dùng đã được dự án khuyên chỉ dựa vào các kênh chính thức. Các hướng dẫn không chính thức, nhóm cảnh báo, nên bị bỏ qua hoàn toàn.