Một tuần trước, tôi nhận được tin nhắn từ một trader trẻ: "Chị ơi, em mua token trên Robinhood Chain, nó biến mất khỏi ví sau 2 giây. Chuyện gì thế?".

Tôi biết ngay điều gì đã xảy ra. Cùng một kịch bản với EOS năm 2017, nhưng lần này mồi nhử là Memecoin trên một L2 vừa ra mắt. Khác tên gọi, cùng một vở kịch.
1. Hook
Ngày 7 tháng 7 năm 2024, Robinhood Chain đạt đỉnh gần 400 triệu USD khối lượng giao dịch DEX. Một ngày sau, hàng loạt người dùng báo cáo token họ mua biến mất không dấu vết. Relay - giao diện tổng hợp chính của chain - xác nhận: "Đó là token lừa đảo được thiết kế để tự động xóa khỏi ví người mua."
Đây không phải lỗi của L2. Cũng không phải hack bridge. Đây là thất bại trong quản trị sinh thái.
2. Context
Robinhood Chain là một Optimistic Rollup dựa trên OP Stack, ra mắt public vào đầu tháng 7. Không có token riêng. Giá trị ban đầu đến từ kỳ vọng airdrop và cơn sốt Memecoin được Pump.fun kích hoạt. Relay đóng vai trò cầu nối giữa người dùng Robinhood Wallet và các DEX như Uniswap, sử dụng 0x API và LI.FI.

Vấn đề: bất kỳ ai cũng có thể deploy một token ERC-20 mà không cần xác minh. Kẻ xấu lợi dụng điều này để tạo hợp đồng mật ong - một biến thể của rug pull, nơi hàm _transfer kiểm tra địa chỉ người nhận. Nếu địa chỉ không nằm trong danh sách trắng (thường là ví của kẻ tấn công), token sẽ bị đốt hoặc chuyển đến địa chỉ khác do chúng kiểm soát.

3. Core - Phân tích dòng lệnh
Tôi đã tự audit hơn trăm hợp đồng Memecoin trong sự nghiệp. Cơ chế "tự động xóa" này không mới. Đây là code mẫu: