Plugin SIWE Discourse dính lỗi auth bypass suốt 3+ năm: ai cũng login được thành bất kỳ ai

Phiên bản gốc của plugin Sign-In with Ethereum cho Discourse lấy danh tính người dùng từ một trường form client-controlled thay vì từ chữ ký SIWE đã verify. Hậu quả: suốt 3+ năm, bất kỳ ai cũng có thể đăng nhập thành bất kỳ ai. Bug vừa được công bố ngày 20/04/2026 cùng 3 lỗ hổng khác, đã fix trong bản rewrite mới. ENS và các forum hệ sinh thái đã migrate.