4 giờ sáng, một dòng tweet từ tài khoản @IranWatchdog_ đăng ảnh chụp màn hình Etherscan: "4 giao dịch bất thường từ ví quỹ dự án ‘KonarakSwap’ – tổng cộng 12.000 ETH chuyển sang sàn không KYC." Kèm theo đó là video quay cảnh bầu trời đỏ rực ở phía nam Iran. Không phải tên lửa – mà là một lệnh rút thanh khoản tự động.
Cộng đồng crypto thường có thói quen đọc tin địa chính trị qua lăng kính "sẽ ảnh hưởng đến giá Bitcoin thế nào". Nhưng hiếm ai dừng lại để hỏi: những cuộc tấn công vật lý này có thể được mô phỏng chính xác trong không gian on-chain? Từ cuộc không kích bí ẩn gần Konarak vào tháng 7/2024 – nơi 4 quả tên lửa rơi xuống gần căn cứ hải quân Iran, trong khi máy bay Mỹ lượn vòng trên bầu trời – tôi thấy một sự tương đồng kỳ lạ với cách các dự án DeFi "tấn công" người dùng của chính mình.

Cả hai đều dựa trên cùng một vector: khả năng phủ nhận hợp lý và mục tiêu nằm ở vùng xám.
Hãy để tôi tháo gỡ.

Context: Chu kỳ thổi phồng của DeFi và nghệ thuật "đánh vào vùng ven"
Thị trường giảm hiện tại đang khiến mọi người tìm kiếm "safe haven" – và không gì an toàn hơn một giao thức được quảng cáo là "phi tập trung, đã kiểm toán, có bảo hiểm". Nhưng giống như cuộc tấn công Konarak – nơi các nhà phân tích quân sự không thể xác định thủ phạm vì thiếu dữ liệu radar – hầu hết các vụ rug pull trong DeFi cũng không để lại dấu vết rõ ràng cho đến khi quá muộn.
Trong 7 ngày qua, tôi theo dõi 3 dự án mới nổi trên Arbitrum, tất cả đều có APY >200% và TVL tăng vọt từ 0 lên 50 triệu USD chỉ trong 72 giờ. Điều đáng sợ? Chúng đều sử dụng cùng một cấu trúc: - Tokenomics với 80% supply cho liquidity mining, 20% cho team (không vesting). - Hợp đồng thông minh fork từ Uniswap v2, thêm một hàm withdrawEmergency() không được document. - Audit từ một công ty không có tên tuổi (thường là CertiK hoặc Hacken nhưng gói "basic" chỉ kiểm tra reentrancy).
Tôi đã audit mã nguồn của dự án "KonarakSwap" – đúng vậy, họ lấy tên từ thành phố bị tấn công – và phát hiện một backdoor ẩn trong dòng thứ 147 của LiquidityManager.sol. Nó cho phép admin rút bất kỳ lượng thanh khoản nào mà không cần multi-sig, chỉ cần một chữ ký duy nhất. Một backdoor không bao giờ nằm ở dòng cuối cùng. Nó nằm ở nơi mà auditor bỏ qua vì họ đã kiểm tra "tính chính xác của phép tính" thay vì "ai có thể gọi hàm này".
Core: Tháo gỡ backdoor KonarakSwap – 12.000 ETH đã đi đâu?
Bằng kinh nghiệm điều tra 5 năm trong lĩnh vực này, tôi bắt đầu bằng việc clone repo của dự án từ GitHub. Commit cuối cùng là 3 ngày trước khi TVL đạt đỉnh. Tôi chạy git diff HEAD~1 và thấy một thay đổi tinh vi: trong file Ownable.sol, họ thêm một modifier mới: