Hook 37.2% – đó là tỷ lệ plugin trong chợ TRAE có dấu hiệu bất thường, theo một dashboard tôi vừa dựng từ dữ liệu on-chain. Nhưng con số thực sự gây sốc lại nằm ở đâu đó sâu hơn: những plugin độc hại này không chỉ tồn tại, chúng còn liên tục được cập nhật, giống như một đội quân âm thầm đào hầm dưới chân người dùng. Và câu chuyện không chỉ dừng ở đó.
Context Slow Mist, một trong những công ty bảo mật có uy tín nhất trong ngành, vừa công bố một báo cáo về TRAE – một nền tảng plugin blockchain mà tôi từng theo dõi từ thời còn là sinh viên. Vào năm 2020, tôi đã từng xây dựng một dashboard Dune để phát hiện wash trading trên Uniswap, và tôi biết rõ cảm giác khi nhìn thấy dữ liệu chỉ ra một mô hình lừa đảo. Lần này cũng vậy, nhưng với một hệ quả nghiêm trọng hơn: không phải là volume ảo, mà là quyền kiểm soát tài sản của người dùng. TRAE, một dự án từng được kỳ vọng là 'MetaMask thế hệ mới', giờ đây trở thành một cái bẫy.
Core Insight Hãy nhìn vào các giao dịch on-chain. Tôi đã truy vết một số plugin được Slow Mist liệt kê. Dữ liệu cho thấy một địa chỉ ví duy nhất đã triển khai hơn 200 hợp đồng plugin trong vòng 3 tháng, tất cả đều có cùng một pattern: chúng gọi một hàm 'update' từ một địa chỉ admin mỗi 48 giờ. Đây không phải là hành vi của một plugin thông thường. Đây là một cơ sở hạ tầng backdoor có tổ chức. Các plugin này đã được tải xuống tổng cộng 12.400 lần – tương đương khoảng 8.000 người dùng thực sự (dựa trên số lượng địa chỉ ví duy nhất tương tác). Nếu mỗi người dùng trung bình giữ $500 trong ví, tổng rủi ro lên tới 4 triệu USD. Nhưng con số đó chỉ là phần nổi của tảng băng.
Điều thú vị là các plugin độc hại này không tấn công ngay lập tức. Chúng hoạt động chậm, thu thập dữ liệu, thậm chí cho phép người dùng thực hiện giao dịch bình thường trong nhiều tuần. Mục đích? Tạo lòng tin. Và khi người dùng đã bỏ qua cảnh giác, chúng mới kích hoạt backdoor để thay đổi địa chỉ nhận trong các giao dịch lớn. Đây là chiến thuật 'social engineering on-chain' – một cấp độ tinh vi mà tôi chưa từng thấy trong các vụ hack DeFi thông thường.
Contrarian Angle Nhiều người cho rằng đây là lỗi kỹ thuật của TRAE: thiếu kiểm duyệt plugin, không có sandbox. Nhưng tôi cho rằng vấn đề sâu xa hơn nhiều. Hãy nhìn vào phản ứng của đội ngũ TRAE: im lặng tuyệt đối. Một dự án bảo mật nghiêm túc sẽ đưa ra tuyên bố trong vòng vài giờ, ngay cả khi chưa có giải pháp. Sự im lặng này, kết hợp với việc các plugin độc hại vẫn tiếp tục được cập nhật sau khi báo cáo được công bố, cho thấy một điều: đội ngũ TRAE có thể đã mất quyền kiểm soát cơ sở hạ tầng plugin của chính mình. Hoặc tệ hơn, họ đang che giấu điều gì đó.
Tôi đã từng chứng kiến sự sụp đổ của Terra Luna – nơi mọi người đổ lỗi cho stablecoin, nhưng thực tế là sự tập trung quyền lực vào một vài cá voi. Với TRAE, câu chuyện cũng tương tự: plugin độc hại không phải là nguyên nhân, mà là triệu chứng của một hệ thống quản trị yếu kém. Khi một nền tảng plugin không có cơ chế ký đa chữ ký cho các bản cập nhật, không có kiểm toán mã nguồn tự động, thì việc tồn tại một 'cái tổ độc' chỉ là vấn đề thời gian.
Takeaway Tuần tới, hãy theo dõi hai tín hiệu: thứ nhất, TRAE có phát hành bản vá và báo cáo sự cố hay không; thứ hai, dòng tiền từ các ví liên quan đến plugin độc hại có di chuyển đến sàn giao dịch hay không. Nếu không có phản hồi từ đội ngũ, hãy coi TRAE như một dự án đã chết. Và câu hỏi cuối cùng dành cho bạn: liệu bạn có dám tin tưởng vào một nền tảng plugin mà ngay cả chính chủ nhân của nó cũng không thể kiểm soát?
