Phân tích 20 Vụ Cướp: Tại Sao Tài Sản Chuỗi Khối Thường Xuyên Bị Tin tặc Đánh Cắp?
原文标题:《20 Vụ Đánh Cắp: Tại sao Ngành Tiền Điện Tử Luôn Bị Đánh Cắp?》
原文作者:Changan, Biteye
Tháng 4 năm 2026, Kelp DAO bị đánh cắp 2.92 tỷ USD, kẻ tấn công sử dụng mã thông báo không thế chấp để vay tài sản thật từ Aave, tạo ra nợ xấu hơn 2 tỷ USD trong vòng 46 phút.
Đó chỉ là một trong nhiều vụ đánh cắp từ đầu năm đến nay, Drift bị đánh cắp 2.85 tỷ USD, Step Finance bị đánh cắp khoảng 30 triệu USD, Resolv Labs bị đánh cắp khoảng 23 triệu USD, tin tức về các vụ đánh cắp đến sau nhau, ngành công nghiệp chưa kịp phản ứng, dự án bị đánh cắp tiếp theo đã xuất hiện.
Liệu có quy luật nào đứng sau những vụ việc này không? Hacker tấn công giao thức như thế nào?
Bài viết này trình bày 20 vụ án bị đánh cắp có sự đại diện nhất từ trước đến nay và gần đây, cố gắng tìm ra câu trả lời.
Dựa trên 20 vụ việc mà chúng tôi đã tổng hợp, có thể thấy ba quy luật rõ ràng:
· Nhiều vụ việc có liên quan đến lỗ hổng kỹ thuật, nhưng tổn thất mỗi lần tương đối giới hạn; các vụ tấn công quyền hạn và kỹ thuật xã hội ít, nhưng đóng góp phần lớn vào tổng số thiệt hại.
· Quy mô của các cuộc tấn công quyền hạn đang ngày càng tăng. Trong 20 trường hợp, bốn vụ việc có tổn thất lớn nhất đều có dấu vết của hacker Triều Tiên.
· Chiến trường của các lỗ hổng kỹ thuật đang di chuyển, cầu nối liên chuỗi chưa bao giờ an toàn.
I. 10 Dự Án Bị Đánh Cắp Số Tiền Lớn Nhất
1. Tên Dự Án: Bybit (Số Tiền Đánh Cắp: 1.5 tỷ USD | Thời Gian: Tháng 2 năm 2025)
Lý Do Bị Đánh Cắp:
Nhóm Hacker Triều Tiên Lazarus Group (FBI và ZachXBT đưa ra dấu hiệu tin cậy cao, hoạt động được mã hóa "TraderTraitor") thông qua phương pháp đánh cắp giao diện người dùng + lừa đảo đa ký thuật vi phạm cơ chế chữ ký đa bên của Safe Wallet.
Kẻ tấn công tiêm mã JavaScript độc hại vào giao diện người dùng của Ví An Toàn. Khi chủ sở hữu đa ký (6 người ký) thực hiện giao dịch chuyển tiền cold wallet thông thường, giao diện người dùng hiển thị địa chỉ nhận và số tiền bình thường, nhưng Dữ Liệu Gọi dịch bị sửa đổi, chuyển hướng 401.000 ETH đến địa chỉ của kẻ tấn công. Dưới sự mắt không thấy, ba trong số sáu người ký phê duyệt giao dịch, tiền mất một cách nhanh chóng.
Vấn đề Cơ bản: Đa chữ ký phụ thuộc vào tầng tương tác người-máy, phía frontend không xác thực độc lập dẫn đến mất tính toán an toàn; Tether đóng băng USDT liên quan trong vài giờ, trong khi Circle trì hoãn đóng băng USDC trong 24 giờ, gia tăng thiệt hại. Sự kiện này đã tiết lộ mối đe dọa chết người của tấn công xã hội học + giao diện người dùng đối với các sàn giao dịch tập trung, thúc đẩy việc ra đời của các mạng xác minh giao dịch như Safenet.
Sự kiện này có nhiều điểm tương đồng với Drift Protocol (Tháng 4 năm 2026, 285 triệu USD): xây dựng niềm tin thông qua xã hội học, sau đó gian lận giao diện/ngoặc ký, đánh dấu sự chuyển đổi của hacker từ lỗ hổng hợp đồng thông minh sang "điểm yếu con người".
Trong quá trình xử lý sau đó, Bybit đã nhanh chóng sử dụng vốn tự có để bù đắp toàn bộ thiệt hại, đảm bảo người dùng không mất bất kỳ thứ gì, và hiện tại nền tảng đang hoạt động ổn định.
2. Tên Dự án: Mạng Ronin (Số tiền bị đánh cắp: 624 triệu USD | Thời gian: Tháng 3 năm 2022)
Lý do Bị Đánh Cắp:
Nhóm hacker Triều Tiên Lazarus Group thông qua kỹ thuật xã hội học và lỗ hổng sau cửa, đã thành công trong việc kiểm soát toàn diện các khóa riêng tư của nút xác thực.
Kẻ tấn công xâm nhập vào hệ thống nội bộ của Sky Mavis, và tận dụng lỗ hổng trong nút RPC không tốn phí khí, kiểm soát 5 trong số 9 nút xác thực (bao gồm 4 nút Sky Mavis và 1 nút Axie DAO). Sau đó, họ đã tạo ra hai giao dịch rút tiền giả mạo, từ đó trái phép rút ra 173,600 ETH và 25.5 triệu USDC.
Lý do cơ bản của sự kiện này nằm trong việc thiết kế cầu chuyển mạng giữa các chuỗi tập trung quá nhiều quyền kiểm định vào một số ít nút. Ngưỡng rà soát hoạt động chỉ với 5 chữ ký trong số 9 nút trở nên vô nghĩa gần như trước mặt cuộc tấn công xã hội học có mục tiêu.
3. Tên Dự án: Mạng Poly (Số tiền bị đánh cắp: 611 triệu USD | Thời gian: Tháng 8 năm 2021)
Lý do Bị Đánh Cắp:
Lý do chính mà Poly Network bị đánh cắp là do thiết kế quản lý quyền hạn của hợp đồng chuyển chuỗi tồn tại lỗ hổng nghiêm trọng.
Kẻ tấn công đã tận dụng mối quan hệ giữa hai hợp đồng có quyền hạn cao là EthCrossChainManager và EthCrossChainData, tạo ra một cuộc gọi hàm giả mạo có thể được thực thi.
Do EthCrossChainManager trực tiếp có quyền sửa đổi khóa công khai của Keeper và tham số _method được sử dụng trong cuộc gọi có thể được người dùng tùy chỉnh, kẻ tấn công đã thông qua việc xây dựng va chạm băm để thành công gọi hàm putCurEpochConPubKeyBytes ban đầu chỉ có thể được thực hiện bởi người dùng có đặc quyền cao.
Điều này đã khiến kẻ tấn công thay thế khóa công khai của mình bằng khóa công khai của người quản lý hợp lệ, chiếm quyền kiểm soát tài sản chéo chuỗi và cuối cùng chuyển tiền ra khỏi nhiều chuỗi.
4. Tên Dự án: Wormhole (Số tiền bị đánh cắp: 326 triệu USD | Thời gian: Tháng 2 năm 2022)
Lý do bị đánh cắp:
Thông thường, khi người dùng muốn chuyển tài sản từ một chuỗi sang chuỗi khác, hệ thống phải xác nhận rằng tài sản đã được gửi và chữ ký liên quan là hợp lệ, chỉ khi đó chuỗi khác sẽ tạo ra tài sản tương ứng.
Vấn đề của Wormhole nằm ở bước "xác minh chữ ký" này. Mã của Wormhole sử dụng một hàm cũ và không đủ an toàn để kiểm tra tính hợp lệ của giao dịch. Hàm này ban đầu được sử dụng để xác nhận xem: hệ thống đã thực sự hoàn thành việc xác minh chữ ký hay chưa. Nhưng quá trình kiểm tra của nó không chặt chẽ, đã mở ra cơ hội cho kẻ tấn công.
Kẻ tấn công đã tận dụng lỗ hổng này, tạo ra một tập hợp thông tin mà dường như đã "được xác minh", làm cho hệ thống nghĩ rằng giao dịch chéo chuỗi này là hợp lệ. Nói cách khác, hệ thống đã nên xác nhận trước "tiền đã được gửi vào hay chưa", nhưng vì quá trình xác minh đã bị bỏ qua, hệ thống tin tưởng ngay vào bằng chứng giả mạo mà kẻ tấn công gửi đến.
Vì vậy, kẻ tấn công đã tạo ra lượng lớn wETH từ không có khoản tài sản đủ, sau đó chuyển tiền ra và đổi lấy tiền mặt, cuối cùng dẫn đến Wormhole mất khoản tiền khoảng 3.26 tỷ USD.
5. Tên Dự án: Drift Protocol (Số tiền bị đánh cắp: 285 triệu USD | Thời gian: Tháng 4 năm 2026)
Lý do bị đánh cắp:
Tổ chức hacker DPRK đã sử dụng kỹ thuật thâm nhập hướng mục tiêu trong sáu tháng, kết hợp với lừa đảo Solana Durable Nonce trước khi thực hiện cuộc tấn công.
Từ mùa thu năm 2025, các thủ phạm đã giả mạo thành công một công ty giao dịch định lượng, xây dựng mối quan hệ tin cậy ngoại tuyến với các đóng góp viên của Drift tại nhiều hội nghị mật mã quốc tế và đầu tư hơn một triệu đô la vào Ecosystem Vault để tích luỹ uy tín. Sau khi đạt được sự tin tưởng, kẻ tấn công đã dẫn dắt các thành viên Hội đồng An ninh ký kết nhiều giao dịch trước trông giống như không gây hại: tận dụng cơ chế Nonce Bền vững của Solana, ẩn một chỉ thị chuyển quyền quản lý trong đó. Đồng thời, Drift ngẫu nhiên hoàn thành việc di dời sang ví đa chữ ký không trễ, loại bỏ cửa sổ phát hiện và can thiệp sau sự kiện.
Sau khi đạt được quyền quản lý giao thức, kẻ tấn công đã đăng ký một token CVT giả với lượng thanh khoản thực sự chỉ vài trăm đô la, tạo ra ảo tưởng giá, sau đó đặt 500 triệu token CVT dưới dạng tài sản thế chấp vào giao thức, vay ra 285 triệu đô la Mỹ, SOL và ETH. Toàn bộ giai đoạn thực thi chỉ kéo dài 12 phút.
Drift chính thức và đội an ninh SEAL 911 đưa ra áp dụng "Đáng tin cậy Trung bình đến cao" với cuộc tấn công này được quyết định là của tổ chức liên kết với CHDC (Tổ chức giới chính) - một tổ chức hacker được chính phủ Triều Tiên hỗ trợ, người thực thi không phải là công dân Triều Tiên mà là một bên thứ ba được họ điều khiển thực hiện tiếp xúc ngoại tuyến.
6. Tên Dự án: WazirX (Số tiền bị đánh cắp: 235 triệu đô la Mỹ | Thời gian: tháng 7 năm 2024)
Lý Do Bị Đánh Cắp:
Chính ở trái tim của cuộc tấn công này là việc các ví đa chữ ký bị đánh cắp từng bước, và cuối cùng bị thay thế bằng hợp đồng độc hại.
Đầu tiên, kẻ tấn công đã thông qua các phương thức như lừa đảo để có được quyền của một số người ký (bao gồm cả việc đột nhập trực tiếp và dẫn dắt ký). Trên cơ sở này, kẻ tấn công đã thông qua giao diện giả mạo để làm rối những người ký khác, khiến họ phê duyệt các giao dịch độc hại mà họ không hề biết.
Sau khi đã thu thập đủ số ký, kẻ tấn công không chuyển trực tiếp tài sản, mà thay vào đó, tận dụng cơ chế có thể nâng cấp của ví đa chữ ký, thực hiện một hoạt động nâng cấp hợp đồng, thay thế hợp đồng triển khai ban đầu bằng hợp đồng độc hại do họ triển khai.
Sau khi sau khi thiết lập lại logic thực thi của hợp đồng độc hại, mọi giao dịch tiếp theo sẽ được điều hướng lại, tiền sẽ liên tục chuyển tới địa chỉ của kẻ tấn công. Cuối cùng, quyền kiểm soát của ví đa chữ ký đã bị kiểm soát hoàn toàn, và tài sản trên chuỗi đã được chuyển ra khỏi.
7. Tên Dự án: Cetus (Số tiền bị đánh cắp: 223 triệu đô la Mỹ | Thời gian: tháng 5 năm 2025)
Lý do bị Hack:
Vụ tấn công này xuất phát từ một lỗ hổng tràn số trong tính toán thanh khoản của giao thức.
Cụ thể, Cetus sử dụng một hàm toán học trong xử lý tính toán số lớn nhưng có lỗi đánh giá ranh giới. Khi một giá trị cụ thể chính xác đạt đến giá trị biên, hệ thống không thể nhận diện đúng hiện tượng tràn số sắp xảy ra, vẫn tiếp tục thực hiện tính toán, dẫn đến kết quả bất thường bị khuếch đại.
Kẻ tấn công đã xây dựng một quy trình hành động xung quanh vấn đề này:
Đầu tiên, thông qua giao dịch lớn tạo điều kiện giá cực đoan, sau đó tạo vị trí thanh khoản trong một phạm vi cụ thể và chỉ đầu tư một lượng tài sản rất nhỏ (mức rác). Dưới những điều kiện này, vấn đề tràn số trong hợp đồng được kích hoạt, khiến hệ thống trong quá trình tính toán tin rằng kẻ tấn công nên nhận được một phần tiền tệ thanh khoản vượt xa so với lượng thực tế đầu tư.
Sau đó, kẻ tấn công sử dụng các phần tử này bị khuếch đại để thực hiện hoạt động gỡ bỏ thanh khoản, rút tiền từ hồ tiền xa vượt quá lượng đầu tư thực tế. Toàn bộ quy trình này có thể được lặp đi lặp lại, từ đó liên tục rút tiền từ hồ tiền, cuối cùng gây ra thiệt hại lớn.
8. Tên Dự án: Gala Games (Số tiền bị Hack: $216 triệu | Thời gian: Tháng 5 năm 2024)
Lý do bị Hack:
Điểm chính của vụ tấn công này là Khóa riêng tư của tài khoản đúc tiền có đặc quyền bị phá vỡ, kiểm soát truy cập thất bại.
Hợp đồng của Gala vốn có giới hạn quyền đúc thông qua chức năng mint, nhưng một trong những tài khoản có quyền đúc tiền (tài khoản đúc) đã bị kẻ tấn công chiếm quyền kiểm soát. Tài khoản này đã không được sử dụng trong thời gian dài, nhưng vẫn giữ quyền hạn đầy đủ.
Sau khi có quyền kiểm soát tài khoản, kẻ tấn công đã trực tiếp gọi chức năng đúc tiền của hợp đồng, tạo ra khoảng 50 tỷ token GALA và chuyển chúng vào địa chỉ cá nhân. Tiếp theo, kẻ tấn công đã trao đổi các token này một cách phân đoạn trên thị trường để đổi thành ETH, thực hiện việc rút tiền.
Toàn bộ quá trình không sử dụng lỗ hổng hợp đồng thông minh, mà là trực tiếp thực hiện các hành động độc hại thông qua quyền hạn hợp lệ.
9. Tên Dự án: Mixin Network (Số tiền bị Hack: $200 triệu | Thời gian: Tháng 9 năm 2023)
Lý do bị Hack:
Điểm chính của vụ tấn công này là: Mixin đã lưu trữ khóa riêng tư trong một cơ sở dữ liệu điều quản tập trung.
Mạng Mixin tuyên bố được duy trì bởi 35 nút chính mạng, hỗ trợ chuyển khoản qua mạng lưới cho 48 chuỗi khối khác nhau, nhưng các khóa riêng tư của ví nóng và địa chỉ gửi tiền lớn được lưu trữ theo cách "có thể khôi phục" trên cơ sở dữ liệu của một nhà cung cấp dịch vụ đám mây bên thứ ba. Vào lúc 00:00 ngày 23 tháng 9 năm 2023, kẻ tấn công đã xâm nhập vào cơ sở dữ liệu này, trích xuất một lượng lớn các khóa riêng tư này.
Sau khi có được các khóa riêng tư, kẻ tấn công không cần phải phá vỡ bất kỳ logic hợp đồng nào mà có thể ký với danh tính hợp pháp để tiến hành chuyển khoản. Ghi chú trên chuỗi cho thấy, kẻ tấn công đã rút tiền từ các địa chỉ theo thứ tự từ cao đến thấp của số dư, liên quan đến hơn 10,000 giao dịch, kéo dài trong vài giờ, với tài sản chính gồm khoảng 95.3 triệu đô la ETH, 23.7 triệu đô la BTC và 23.6 triệu đô la USDT, trong đó USDT đã được nhanh chóng đổi thành DAI để tránh bị đóng băng.
10. Tên Dự án: Euler Finance (Số tiền bị đánh cắp: 197 triệu USD | Thời gian: Tháng 3 năm 2023)
Lý do Bị Đánh cắp:
Điểm chính của cuộc tấn công lần này là giữa logic tính tài sản và nợ bên trong giao thức không đồng nhất và đã bị tận dụng mạnh bởi vay qua Flash Loan.
Cụ thể, hàm DonateToReserve của Euler khi thực thi chỉ hủy eToken đại diện cho tài sản thế chấp, nhưng không đồng bộ hóa việc hủy dToken đại diện cho nợ, dẫn đến việc mối quan hệ "tài sản thế chấp" và "nợ" trong hệ thống bị phá vỡ.
Trong trường hợp này, giao thức sẽ sai lầm khi xem xét tài sản thế chấp giảm, cấu trúc nợ thay đổi, gây ra tình trạng tài sản bất thường.
Kẻ tấn công đã xây dựng một loạt quy trình hoạt động xung quanh điểm này:
Đầu tiên, thông qua Vay Flash Loan, vay một lượng lớn tiền, thực hiện các hoạt động gửi và vay trong giao thức, điều chỉnh liên tục số lượng eToken và dToken. Tận dụng lỗ hổng logic trên, kẻ tấn công làm cho hệ thống liên tục hiển thị trạng thái tài sản/nợ không chính xác, từ đó có được khả năng vay vượt quá khả năng thế chấp thực tế.
Sau khi có khả năng vay vượt quá bình thường, kẻ tấn công rút tiền theo từng đợt và thực hiện chuyển tiền qua nhiều loại tài sản (DAI, USDC, stETH, wBTC). Toàn bộ quá trình được thực hiện trong một giao dịch và tăng lợi nhuận thông qua nhiều lần hoạt động, cuối cùng gây ra thiệt hại khoảng 197 triệu đô la.
二. 10 Dự Án Bị Đánh cắp Gần Đây
1. Tên Dự án: Hyperbridge (Số tiền bị đánh cắp: Khoảng 250 triệu USD, Tháng 4 năm 2026)
Lý do bị đánh cắp:
Trung tâm của sự kiện này là thiếu sót trong logic xác minh chứng từ Gateway Token.
Kẻ tấn công đã tận dụng việc thông qua thiếu sót xác minh đầu vào MMR (Merkle Mountain Range), làm giả một chứng từ chuyển mạch giữa chuỗi mạng không hợp lệ. Do hệ thống nhầm lẫn chứng từ không hợp lệ này là chứng từ hợp lệ, kẻ tấn công đã tiếp tục lấy quyền quản lý hợp đồng DOT đã kết nối với Ethereum và sau đó tạo ra khoảng 10 tỷ đồng DOT giả mạo và bán trên Dex.
Đồng thời, cuộc tấn công cũng ảnh hưởng đến hồ chứa DOT trên Ethereum, Base, BNB Chain và Arbitrum, sau đó, ước lượng mức thiệt hại ban đầu khoảng 23,7 nghìn USD đã được sửa đổi thành khoảng 250 triệu USD.
2. Tên Dự án: Venus Protocol (Số tiền bị đánh cắp: Khoảng 370 - 500 triệu USD, Tháng 3 năm 2026)
Lý do bị đánh cắp:
Trung tâm của cuộc tấn công này là có thể tránh qua kiểm tra giới hạn cung cấp và tận dụng logic tính tỷ lệ hoán đổi.
Cụ thể, Venus trong khi tính toán vốn thị trường, trực tiếp sử dụng balanceOf() để đọc số dư thực tế từ hợp đồng; nhưng việc giới hạn cung chỉ được kiểm tra trong quá trình mint().
Kẻ tấn công đã thông qua việc chuyển trực tiếp tài sản cơ bản vào hợp đồng vToken (chuyển ERC-20), tránh qua quá trình mint(), qua đó bỏ qua kiểm tra giới hạn cung.
Do số tiền này được tính vào số dư của hợp đồng, hệ thống khi tính tỷ lệ hoán đổi cho rằng tài sản hồ chứa đã tăng, nhưng lượng vToken tương ứng không tăng, dẫn đến tỷ lệ hoán đổi bất thường tăng cao.
Trong tình huống này, giá trị tài sản thế chấp ban đầu trong tay kẻ tấn công đã được khuếch đại, qua đó đạt được khả năng vay cao hơn nhiều so với thực tế.
Sau đó, kẻ tấn công tận dụng giá trị thế chấp được khuếch đại để lặp đi lặp lại quá trình vay → đẩy giá lên → vay thêm, rút nhiều loại tài sản từ giao thức, cuối cùng tạo ra thiệt hại khoảng 500 triệu USD.
3. Tên Dự án: Resolv Labs (Số Tiền Bị Đánh Cắp: Khoảng 23 triệu đến 25 triệu USD, tháng 3 năm 2026)
Lý Do Bị Đánh Cắp:
Điểm cốt lõi của cuộc tấn công lần này là khóa riêng tư chữ ký quan trọng đã bị đánh cắp và hợp đồng thông minh không thực hiện kiểm tra giới hạn cho việc đúc tiền.
Quy trình đúc USR của Resolv dựa vào một dịch vụ ngoại tuyến: Người dùng trước tiên gửi yêu cầu, sau đó hệ thống sẽ được ký bởi một chìa khóa riêng tư chứa đặc quyền (SERVICE_ROLE) và sau cùng là hợp đồng thực hiện việc đúc tiền.
Tuy nhiên, hợp đồng chỉ kiểm tra xem "chữ ký có hợp lệ hay không", không kiểm tra "số lượng đúc ra có hợp lý hay không", cũng như không có tỷ lệ thế chấp, trình dự đoán giá hoặc hạn mức đúc tối đa.
Kẻ tấn công đã xâm nhập vào cơ sở hạ tầng điện toán đám mây của dự án, thu được chìa khóa riêng tư này, từ đó có thể tạo ra chữ ký hợp lệ.
Sau khi có quyền chữ ký, kẻ tấn công sử dụng một số lượng nhỏ USDC (khoảng 10 đến 20 nghìn USD) làm đầu vào, làm giả tham số, trực tiếp đúc khoảng 80 triệu USR không có sự hỗ trợ thế chấp.
Sau đó, những USR không có thế chấp này được nhanh chóng đổi thành các loại stablecoin khác và cuối cùng đổi thành ETH, tiền được rút dần ra ngoài, đồng thời lượng cung mới lớn dẫn đến giá USR nhanh chóng mất giá.
4. Tên Dự án: Saga (Số Tiền Bị Đánh Cắp: Khoảng 7 triệu USD, tháng 1 năm 2026)
Lý Do Bị Đánh Cắp:
Điểm cốt lõi của cuộc tấn công lần này là logic xác minh của cầu nối EVM precompile bridge có lỗ hổng.
SagaEVM sử dụng triển khai EVM dựa trên Ethermint, trong khi mã này chứa một lỗ hổng chưa được phát hiện, ảnh hưởng đến logic xác minh giao dịch của cầu nối qua mạng lưới.
Thủ phạm đã thông qua việc tạo ra giao dịch cụ thể, vượt qua quá trình cầu nối mà không cần kiểm tra "mức đã đặt cọc tài sản" cũng như "hạn mức cung cấp stablecoin".
Trong trường hợp bị vượt qua kiểm tra, hệ thống sẽ xem những tin nhắn giả mạo này là hoạt động chuyển tiền qua mạng hợp pháp và thực hiện đúc ra một lượng stablecoin tương ứng. Vì không có sự hỗ trợ tài sản thế chấp thực sự, kẻ tấn công có thể đúc ra stablecoin số lượng lớn mà không mất chi phí và đổi chúng thành tài sản thật trong giao thức.
Cuối cùng, Quỹ Giao thức đã bị rút tiền liên tục, Stablecoin bị mất giá, khoảng 7 triệu USD tài sản đã được chuyển đi.
5. Tên Dự án: Solv (Số tiền bị đánh cắp: Khoảng 250 triệu USD, Tháng 3 năm 2026)
Lý do Bị Hack:
Vấn đề chính của vụ tấn công này là Hợp đồng BRO Vault chứa lỗ hổng kép chiếu tiền (triggered by reentrancy).
Cụ thể, khi hợp đồng nhận tài sản ERC-3525, nó sẽ gọi doSafeTransferIn, trong khi ERC-3525 dựa trên ERC-721, sẽ kích hoạt cuộc gọi lại onERC721Received trong quá trình chuyển tiền an toàn.
Trong quy trình này, hợp đồng thực hiện một lần chiếu tại quy trình chính và đồng thời kích hoạt thêm một lần chiếu tại hàm gọi lại.
Do cuộc gọi lại xảy ra khi lần chiếu đầu tiên chưa hoàn thành hoàn toàn, kẻ tấn công có thể kích hoạt hai lần chiếu trong một giao dịch gửi tiền, tạo ra một lối đi reentrancy điển hình. Bằng cách lợi dụng lỗ hổng này lặp đi lặp lại, kẻ tấn công đã làm phình to một lượng nhỏ tài sản thành một lượng lớn BRO, sau đó đổi chúng thành SolvBTC và chuyển đi.
6. Tên Dự án: Aave (Bị ảnh hưởng gián tiếp, Rủi ro nợ xấu khoảng 177-236 triệu USD, Tháng 4 năm 2026)
Lý do Bị Hack:
Lỗ hổng trực tiếp của sự kiện này không nằm ở Aave mà đến từ việc xác minh cầu nối Cross-chain của Kelp DAO thất bại.
Kẻ tấn công đã gửi một tin nhắn giả mạo đến cầu nối Cross-chain dựa trên LayerZero, làm cho hệ thống phát hành khoảng 116,500 đồng rsETH mặc dù không có ETH thực sự được gửi. Những đồng rsETH này không được hỗ trợ bởi tài sản thực, nhưng được sử dụng trong hệ thống như tài sản thế chấp bình thường.
Sau đó, kẻ tấn công đã gửi đồng rsETH không có tài sản thế chấp vào Aave để làm tài sản thế chấp, và vay ra một lượng lớn tài sản thực (WETH). Vì cài đặt tham số của Aave cho phép thế chấp và vay mượn quy mô lớn, kẻ tấn công đã hoàn tất việc vay mượn và chuyển tiền ra trong thời gian ngắn.
Kết quả cuối cùng là: Kẻ tấn công đã chuyển rủi ro cho Aave thông qua "tài sản thế chấp giả mạo → vay mượn tài sản thực", tạo thành nợ xấu quy mô lớn.
7. Tên Dự án: YieldBlox (Số tiền bị đánh cắp: Khoảng 10,2 triệu USD, Tháng 2 năm 2026)
Lý do bị đánh cắp:
Yếu tố chính của vụ tấn công này là giá của máy oracl có thể bị can thiệp thông qua một giao dịch duy nhất (do tính không lỏng lẻo + cơ chế VWAP).
Trước khi xảy ra vụ tấn công, cặp giao dịch USTRY/USDC gần như không có tính thanh khoản và không có giao dịch bình thường trong cửa sổ giá của máy oracl. Máy oracl Reflector mà YieldBlox sử dụng dựa vào cơ chế VWAP (giá trung bình theo khối lượng giao dịch), trong trường hợp này, một giao dịch duy nhất có thể xác định giá.
Kẻ tấn công đầu tiên đưa ra một giá cực đoan (khoảng 500 USDC/USTRY), sau đó sử dụng một tài khoản khác với khối lượng giao dịch cực nhỏ (chỉ khoảng 0,05 USTRY) để hoàn thành giao dịch, thành công làm tăng giá máy oracl lên khoảng 106 USD.
Sau khi giá bị đẩy lên, số USTRY mà kẻ tấn công nắm giữ được hệ thống coi là tài sản thế chấp có giá trị cao, từ đó nhận được một khoản vay vượt quá nhiều so với giá trị thực. Sau đó, kẻ tấn công trực tiếp vay tất cả tài sản trong hồ (XLM và USDC), hoàn tất việc rút tiền.
8. Tên Dự án: Step Finance (Số tiền bị đánh cắp: Khoảng 30 đến 40 triệu USD, Tháng 1 năm 2026)
Lý do bị đánh cắp:
Yếu tố chính của vụ tấn công này là thiết bị của thành viên nhóm nhân sự chính của dự án bị xâm nhập, dẫn đến sự mất mát khóa riêng tư hoặc quy trình ký.
Kẻ tấn công thông qua việc xâm nhập vào thiết bị của các quản lý cấp cao trong dự án, đã thu được quyền truy cập vào ví điều khiển dự án. Quyền truy cập này có thể bao gồm việc trực tiếp thu được khóa riêng tư, hoặc thông qua việc cài đặt phần mềm độc hại can thiệp vào quy trình ký giao dịch, khiến cho các quản lý phê duyệt các giao dịch có hại mà không hay biết.
Sau khi kiểm soát được, kẻ tấn công đã tiến hành thao tác trên nhiều ví Solana quản lý dự án, bao gồm rút vật phẩm khỏi tiếp tục tín dụng (unstake) và chuyển tiền ra khỏi hệ thống. Toàn bộ quá trình không liên quan đến lỗ hổng hợp đồng thông minh mà là sử dụng quyền hạn của ví đã thu được để hoàn tất việc chuyển tiền.
Cuối cùng, số tiền dự án đã bị rút mạnh, dẫn đến thiệt hại khoảng 30 triệu USD và khiến giá token giảm mạnh.
9. Tên Dự án: Truebit (Số tiền bị đánh cắp: Khoảng 26 triệu USD, Tháng 1 năm 2026)
Lý do bị tấn công:
Đích của cuộc tấn công này là lỗ hổng tràn số nguyên trong hàm giá mua TRU.
Trong quá trình tính giá của buyTRU(), có sự kết hợp của phép nhân và cộng với số lớn, nhưng hợp đồng được biên soạn với phiên bản Solidity 0.6.10, mặc định không có kiểm tra tràn số.
Khi kẻ tấn công truyền vào một tham số lớn cụ thể, giá trị trung gian tràn số, quay vòng số (wrap around), dẫn đến giá mua cuối cùng bị giảm đáng kể, thậm chí là trở thành 0.
Trong trường hợp này, kẻ tấn công có thể mua TRU với giá rất thấp hoặc thậm chí là miễn phí.
Và logic bán ra của giao thức (sellTRU()) vẫn tính toán theo quy tắc thông thường, có thể trao đổi ETH dự trữ trong hợp đồng theo tỷ lệ.
Kẻ tấn công sau đó lặp lại:
Mua TRU với giá thấp/0 → Bán ra với giá bình thường → Rút ETH
Tiếp tục rút tiền từ giao thức qua nhiều vòng lặp, cuối cùng gây thiệt hại khoảng 26 triệu USD.
10. Tên Dự án: Makina (Số tiền bị đánh cắp: Khoảng 4,1 triệu USD, tháng 1 năm 2026)
Lý do bị tấn công:
Đích của cuộc tấn công này là tính AUM / giá cổ phần dựa trên dữ liệu hồ bơi Curve bên ngoài mà thiếu kiểm tra và bị chi phối bởi vay flash loan.
Kẻ tấn công thông qua vay flash loan mượn một số tiền lớn, tạm thời cung cấp thanh khoản cho nhiều hồ bơi Curve và thực hiện giao dịch, thay đổi trạng thái của hồ bơi và các kết quả tính toán liên quan (ví dụ như giá trị LP, kết quả tính withdraw etc).
Các dữ liệu bị chi phối này được giao thác trực tiếp cho tổ chức tính AUM (quy mô quản lý tài sản) và tiếp tục ảnh hưởng đến giá cổ phần.
Vì không có kiểm tra dữ liệu bên ngoài hợp lý hoặc xử lý đo lường thời gian, hệ thống coi đây như là dữ liệu bất thường và áp dụng vào tính toán, dẫn đến:
· Giá trị AUM tăng đột biến
· Giá cổ phần bị phóng đại bất thường
Sau khi giá cổ phiếu được đẩy lên, kẻ tấn công tận dụng sự chênh lệch giá để thực hiện giao dịch lợi nhuận bằng cách đổi tài sản trong hồ bơi DUSD/USDC.
Ba, 20 Đặc điểm và Các Bài học Chung từ 20 Vụ Đánh cắp
Trong 20 vụ việc này, chúng ta thực sự có thể thấy một xu hướng ngày càng rõ ràng: con đường mà hacker lấy cắp số tiền lớn cuối cùng chỉ có hai lối đi: lỗ hổng kỹ thuật và kỹ thuật xã hội.
1. Lỗ hổng Kỹ thuật: Từ phân bố thời gian của các trường hợp lỗ hổng kỹ thuật, có thể thấy một lối đi di dời rõ ràng.
Ở giai đoạn đầu, những lỗ hổng kỹ thuật tập trung cao thường xuyên xảy ra ở cầu nối xuyên chuỗi, nơi mà DeFi mở rộ nhanh nhất, mã nguồn mới nhất, và kiểm định yếu nhất. Nó chịu trách nhiệm cho một lượng lớn tài sản, nhưng chưa trải qua đủ nhiều kiểm tra khắc nghiệt.
Sau đó, ngành công nghiệp bắt đầu chú trọng vào an ninh của cầu nối xuyên chuỗi, các cơ chế xác minh rõ ràng được củng cố, và lỗ hổng kỹ thuật lớn ở cầu nối xuyên chuỗi giảm đáng kể. Nhưng các lỗ hổng không biến mất, chỉ chuyển sang nơi khác — di chuyển vào logic toán học bên trong giao thức DeFi, thiết kế dự đoán, và phụ thuộc vào thư viện bên thứ ba.
· Cetus: Điều kiện biên của thư viện toán học viết sai,
· Truebit: Tràn số nguyên của trình biên dịch cũ,
· YieldBlox: Đánh giá quá mức của dự đoán trên thị trường thanh khoản thấp.
Phía sau điều này chỉ có một lý do: bề mặt tấn công luôn đi theo tài sản, đi theo độ mới cũ của mã nguồn, đi theo điểm mù kiểm định. Một loại cơ sở hạ tầng bị tập trung tấn công, ngành công nghiệp bắt đầu chú ý, phòng thủ được tăng cường, sau đó kẻ tấn công chuyển sang nơi yếu nhất tăng trưởng tiếp theo.
2. Kỹ thuật Xã hội: Trong 20 vụ đánh cắp này, có 4 vụ đã được xác nhận hoặc được cao giá trị thuộc về tổ chức Hacker quốc gia Triều Tiên —Ronin, WazirX, Bybit, Drift, tổng số thiệt hại vượt quá 25 tỷ đô la Mỹ.
Theo số liệu từ Chainalysis, các tổ chức hacker liên quan đến Triều Tiên chỉ trong năm 2025 đã đánh cắp hơn 20 tỷ đô la Mỹ tài sản mã hóa, chiếm gần 60% tổng số tiền mã hóa bị đánh cắp trên toàn cầu trong năm đó. So với năm 2024, số lần tấn công của hacker Triều Tiên đã giảm 74%, nhưng số tiền trung bình mỗi lần tấn công tăng mạnh.
Cách thức của hacker Triều Tiên cũng đang tiếp tục nâng cao, từ giai đoạn Ronin trực tiếp xâm nhập vào hệ thống nội bộ, đến tấn công chuỗi cung ứng của Bybit, rồi Drift với sự thâm nhập ngoại tuyến sáu tháng, mỗi lần đều tìm ra cách mới ngoài dòng phòng thủ hiện có.
Điều đáng lo ngại hơn là, các hacker từ Triều Tiên còn đã thâm nhập vào ngành công nghiệp mã hóa toàn cầu thông qua việc điệp viên hóa hàng loạt nhân viên giả mạo là nhà phát triển. Khi đã tiến vào công ty mục tiêu, những người này sẽ thu thập thông tin về cấu trúc hệ thống nội bộ, được quyền truy cập vào kho lưu trữ mã nguồn, và bí mật cài đặt cửa sau vào mã sản xuất.
Phạm vi ảnh hưởng của vụ đánh cắp đang mở rộng: Trong những vụ việc bị đánh cắp ở giai đoạn đầu, tác động chủ yếu giới hạn trong phạm vi giao thức, nhưng với tính kết hợp ngày càng sâu rộng của DeFi, tác động từ một điểm bắt đầu đã lan tỏa ra bên ngoài.
· Drift: Sau khi bị đánh cắp, ít nhất 20 giao thức phụ thuộc vào sự lưu thông hoặc chiến lược của chúng đã gặp gián đoạn, tạm dừng hoặc mất trực tiếp, Carrot Protocol đã mất 50% TVL.
· Aave: Hợp đồng Aave chính nó không có vấn đề gì, chỉ vì đã chấp nhận rsETH từ Kelp DAO làm tài sản đảm bảo, mà việc xác thực từ cầu nối bên ngoài đã trực tiếp chuyển hóa thành rủi ro nợ xấu của Aave.
Các điều này cuối cùng đều hướng tới một sự thật: việc gửi tài sản vào một giao thức không chỉ đơn giản là tin tưởng vào mã nguồn của giao thức đó. Bạn cũng đồng thời tin tưởng vào mỗi tài sản bên ngoài mà giao thức đó phụ thuộc, mỗi dịch vụ của bên thứ ba, và vào sự đánh giá và hành động an toàn của vài người nắm giữ quyền quản lý.
Gần đây, tin tức về vụ đánh cắp xuất hiện liên tiếp, Polymarket vừa chỉ tháng trước mới tung câu hỏi "Trong năm nay, có dự án nào trong cộng đồng tiền điện tử bị đánh cắp hơn 100 triệu không?", kết quả chưa đầy một tháng thị trường đã phải giải quyết. Điều này không phải là ngẫu nhiên, quy mô tài sản DeFi đang tăng trưởng, mức độ phụ thuộc giữa các giao thức đang ngày càng sâu rộng, nhưng khả năng bảo vệ tiền của chính mình không diễn biến theo tốc độ đó.
Áp lực về an ninh vẫn chưa hạ, nhưng chiều sâu của mối đe dọa đang tăng lên. Tháng 4 năm 26, Phiên bản Claude Mythos Preview từ Anthropic phát hành đã phát hiện hàng nghìn lỗ hổng có nguy cơ cao trên mỗi hệ điều hành và trình duyệt phổ biến, và có thể biến 72% lỗ hổng đã biết thành lộ trình tấn công có hiệu quả.
Một khi khả năng này được sử dụng để quét hệ thống thông minh một cách có hệ thống, đó có nghĩa là những lỗ hổng trong ngành công nghiệp DeFi sẽ được phát hiện và khai thác với tốc độ chưa từng có. Đồng thời, các dự án có thể tích cực sử dụng công cụ này để tự kiểm tra, phát hiện và khắc phục rủi ro tiềm năng sớm, nâng cao khả năng tự bảo vệ an ninh của họ.
Đối với người dùng bình thường, những vụ việc này mang lại một số bài học trực tiếp:
1. Đừng tập trung tài sản vào một giao thức duy nhất. Phân tán lưu trữ mặc dù không thể loại bỏ hoàn toàn rủi ro, nhưng có thể kiểm soát giới hạn tổn thất một lần.
2. Giữ khoảng cách với giao thức mới. Hầu hết các lỗ hổng kỹ thuật đều được phát hiện trong giai đoạn đầu sau khi giao thức được triển khai. Một giao thức đã hoạt động hai năm, trải qua nhiều vòng kiểm tra và thử nghiệm áp lực thực tế, an toàn hơn nhiều so với một giao thức mới chỉ vừa triển khai nhưng mang lại lợi suất cao.
3. Giao thức có thực sự có lời. Hãy xem xét giao thức có thể tạo ra lợi nhuận, chỉ có khả năng thanh toán khi gặp tổn thất thực sự. Giao thức hoạt động dựa trên động lực token và không có nguồn thu nhập thực sự, khi gặp sự cố, phương án bồi thường thường chỉ có thể là phát hành token mới hoặc ảo tưởng.
Một cơ sở hạ tầng tài chính thực sự chín chắn không bao giờ để an ninh luôn ở sau chỉ số tăng trưởng. Trước ngày đó đến, tin tức về việc bị hack sẽ không bao giờ ngừng.
Liên kết gốc
Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:
Nhóm Telegram đăng ký: https://t.me/theblockbeats
Nhóm Telegram thảo luận: https://t.me/BlockBeats_App
Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia
