Tổng kết 20 vụ bị đánh cắp: Vì sao thị trường tiền mã hóa luôn bị tấn công?
Tuyển chọn TechFlowTuyển chọn TechFlow
Tổng kết 20 vụ bị đánh cắp: Vì sao thị trường tiền mã hóa luôn bị tấn công?
Tổng hợp 20 vụ tấn công đánh cắp tiền mã hóa, phân tích hai con đường mà tin tặc thường sử dụng, cũng như lý do vì sao khi một giao thức gặp sự cố, toàn bộ hệ sinh thái đều chịu ảnh hưởng.
Chuyên sâu báo cáo Web3Tác giả: Đội nội dung Changan I Biteye
Tháng 4 năm 2026, Kelp DAO bị tấn công và đánh cắp 292 triệu USD; kẻ tấn công đã vay tài sản thực tế trên Aave bằng các mã thông báo không có thế chấp, gây ra hơn 200 triệu USD nợ xấu trong vòng 46 phút.
Đây chỉ là một trong hàng loạt vụ bị đánh cắp xảy ra trong năm nay: Drift bị mất 285 triệu USD, Step Finance bị mất khoảng 30 triệu USD, Resolv Labs bị mất khoảng 23 triệu USD — tin tức về các vụ bị đánh cắp nối tiếp nhau không dứt, ngành công nghiệp còn chưa kịp phản ứng thì dự án tiếp theo đã bị tấn công.
Liệu đằng sau những sự việc này có tồn tại quy luật nào không? Tin tặc thực chất tấn công các giao thức như thế nào?
Bài viết này tổng hợp 20 vụ bị đánh cắp tiêu biểu nhất trong lịch sử và gần đây nhằm tìm ra câu trả lời.
Theo phân tích từ 20 vụ việc được chúng tôi tổng hợp, có thể nhận thấy ba quy luật rõ ràng:
- Các trường hợp do lỗ hổng kỹ thuật chiếm đa số, nhưng tổn thất mỗi lần tương đối hạn chế; trong khi các vụ tấn công liên quan đến đặc quyền và kỹ thuật xã hội tuy ít hơn, lại chiếm phần lớn tổng tổn thất.
- Mức độ nghiêm trọng của các vụ tấn công đặc quyền đang gia tăng liên tục. Trong số 20 vụ việc, bốn vụ gây tổn thất lớn nhất đều có dấu vết của tin tặc Triều Tiên.
- “Chiến trường” của các lỗ hổng kỹ thuật đang dịch chuyển — cầu nối chéo chuỗi (cross-chain bridge) chưa bao giờ an toàn.
I. Mười dự án bị đánh cắp nhiều tiền nhất
1. Tên dự án: Bybit (Số tiền bị đánh cắp: 1,5 tỷ USD | Thời gian: Tháng 2 năm 2025)
Nguyên nhân bị đánh cắp:
Tổ chức tin tặc Triều Tiên Lazarus Group (được FBI và ZachXBT xác định với độ tin cậy cao, hành động mang tên mã “TraderTraitor”) đã phá vỡ cơ chế ví đa chữ ký (multi-sig) của Safe Wallet thông qua việc khống chế giao diện người dùng (UI) phía trước + gian lận đa chữ ký.
Kẻ tấn công trước tiên xâm nhập thiết bị của nhà phát triển cốt lõi Bybit và tiêm mã JavaScript độc hại vào giao diện ví phía trước. Khi những người nắm giữ chữ ký đa ký (6 người ký) thực hiện giao dịch chuyển tiền từ ví lạnh thông thường, giao diện hiển thị địa chỉ người nhận và số tiền bình thường, nhưng dữ liệu gọi (Call Data) nền tảng bị sửa đổi, chuyển hướng 401.000 ETH tới địa chỉ của kẻ tấn công. Dưới chiêu bài lừa đảo “cái nhìn thấy không phải cái nhận được”, 3/6 người ký đã phê duyệt giao dịch, khiến tài sản lập tức bị rút đi.
Vấn đề cốt lõi: Cơ chế đa chữ ký phụ thuộc vào lớp tương tác giữa người và máy; việc thiếu kiểm tra độc lập ở giao diện phía trước khiến tính bảo mật toán học trở nên vô hiệu. Tether đã đóng băng USDT liên quan trong vài giờ, trong khi Circle trì hoãn 24 giờ mới đóng băng USDC, làm trầm trọng thêm tổn thất. Sự kiện này phơi bày mối đe dọa chết người của kỹ thuật xã hội kết hợp tấn công UI đối với các sàn giao dịch tập trung, đồng thời thúc đẩy sự ra đời của các mạng lưới xác minh giao dịch như Safenet.
Sự kiện này có mô hình rất giống với Drift Protocol (tháng 4 năm 2026, 285 triệu USD): tấn công kỹ thuật xã hội có chủ đích để xây dựng lòng tin, sau đó tiến hành gian lận UI/ký, đánh dấu sự chuyển dịch của tin tặc từ lỗ hổng hợp đồng sang “điểm yếu giữa con người và máy”.
Trong quá trình xử lý hậu sự kiện, Bybit đã nhanh chóng sử dụng nguồn vốn nội bộ để bù đắp đầy đủ toàn bộ tổn thất, đảm bảo người dùng không chịu bất kỳ tổn thất nào; hiện nay nền tảng vận hành ổn định.
2. Tên dự án: Ronin Network (Số tiền bị đánh cắp: 624 triệu USD | Thời gian: Tháng 3 năm 2022)
Nguyên nhân bị đánh cắp: Tổ chức tin tặc Triều Tiên Lazarus Group đã sử dụng kỹ thuật xã hội và cài cắm backdoor để giành toàn quyền kiểm soát khóa riêng của các nút xác thực.
Kẻ tấn công xâm nhập hệ thống nội bộ của Sky Mavis và lợi dụng backdoor tồn tại trong nút RPC miễn phí gas để kiểm soát 5 trong số 9 nút xác thực (bao gồm 4 nút của Sky Mavis và 1 nút của Axie DAO). Sau đó, chúng tạo ra hai giao dịch rút tiền giả mạo, từ đó rút trái phép 173.600 ETH và 25,5 triệu USDC.
Nguyên nhân cốt lõi của sự việc nằm ở thiết kế cầu nối chéo chuỗi, trong đó quyền xác thực tập trung quá mức vào một số lượng nhỏ nút. Ngưỡng yêu cầu 5 chữ ký từ tổng số 9 nút để hoàn tất thao tác, trong bối cảnh bị tấn công kỹ thuật xã hội có chủ đích, gần như trở thành vô nghĩa.
3. Tên dự án: Poly Network (Số tiền bị đánh cắp: 611 triệu USD | Thời gian: Tháng 8 năm 2021)
Nguyên nhân bị đánh cắp: Nguyên nhân cốt lõi dẫn đến vụ đánh cắp Poly Network là lỗ hổng nghiêm trọng trong thiết kế quản lý đặc quyền của hợp đồng chéo chuỗi.
Kẻ tấn công tận dụng mối quan hệ giữa hai hợp đồng có đặc quyền cao là EthCrossChainManager và EthCrossChainData để giả mạo một lời gọi hàm có thể thực thi. Do EthCrossChainManager bản thân sở hữu đặc quyền sửa đổi khóa công khai của Keeper, trong khi tham số _method được sử dụng khi gọi lại có thể do người dùng tự định nghĩa, kẻ tấn công đã thành công trong việc tạo va chạm băm (hash collision), từ đó gọi thành công hàm putCurEpochConPubKeyBytes – vốn chỉ được phép thực thi bởi những thực thể có đặc quyền cao.
Như vậy, kẻ tấn công đã thay thế khóa công khai hợp pháp của người quản lý bằng khóa công khai của chính mình, giành quyền kiểm soát tài sản chéo chuỗi và cuối cùng chuyển tiền từ nhiều chuỗi ra ngoài.
4. Tên dự án: Wormhole (Số tiền bị đánh cắp: 326 triệu USD | Thời gian: Tháng 2 năm 2022)
Nguyên nhân bị đánh cắp: Thông thường, khi người dùng muốn chuyển tài sản từ chuỗi này sang chuỗi khác, hệ thống phải xác minh trước rằng tài sản thực tế đã được gửi vào và chữ ký liên quan cũng thực sự hợp lệ; chỉ khi đó chuỗi đích mới tạo ra tài sản tương ứng.
Vấn đề của Wormhole nằm ở bước “xác minh chữ ký” này. Mã nguồn của Wormhole sử dụng một hàm đã lỗi thời và thiếu an toàn để kiểm tra tính hợp lệ của giao dịch. Hàm này vốn được thiết kế để xác nhận: liệu hệ thống đã thực sự hoàn tất việc xác minh chữ ký hay chưa. Nhưng việc kiểm tra này không chặt chẽ, tạo kẽ hở cho kẻ tấn công khai thác.
Kẻ tấn công lợi dụng lỗ hổng này để giả mạo một bộ thông tin trông như đã “được xác minh thành công”, khiến hệ thống nhầm tưởng hoạt động chéo chuỗi là thật và hợp lệ. Nói cách khác, hệ thống lẽ ra phải xác minh trước “tiền đã thực sự được khóa vào chưa”, nhưng do bước xác minh bị bỏ qua, hệ thống trực tiếp tin tưởng chứng minh giả do kẻ tấn công gửi.
Hệ quả là, kẻ tấn công đã đúc (mint) một lượng lớn wETH mà không cần gửi tài sản thực tế nào, rồi tiếp tục chuyển và đổi chúng ra, gây tổn thất khoảng 326 triệu USD cho Wormhole.
5. Tên dự án: Drift Protocol (Số tiền bị đánh cắp: 285 triệu USD | Thời gian: Tháng 4 năm 2026)
Nguyên nhân bị đánh cắp: Một tổ chức tin tặc Triều Tiên (DPRK) đã tiến hành xâm nhập có chủ đích trong suốt sáu tháng, kết hợp với trò lừa đảo ký trước (pre-sign) dựa trên cơ chế Solana Durable Nonce để thực hiện cuộc tấn công.
Từ mùa thu năm 2025, kẻ tấn công giả danh một công ty giao dịch lượng hóa, thiết lập mối quan hệ tin cậy ngoại tuyến với các nhà đóng góp Drift tại nhiều hội nghị mã hóa quốc tế và đầu tư hơn một triệu USD vào Ecosystem Vault nhằm xây dựng uy tín. Sau khi giành được lòng tin, chúng dụ các thành viên Hội đồng Bảo mật ký trước nhiều giao dịch trông vô hại: lợi dụng cơ chế Durable Nonce của Solana để ngụy trang lệnh chuyển giao quyền quản lý. Đồng thời, Drift vừa hoàn tất việc chuyển đổi sang cơ chế đa chữ ký không độ trễ (zero-delay multi-sig), loại bỏ hoàn toàn khả năng phát hiện và can thiệp sau sự kiện.
Sau khi giành quyền quản lý giao thức, kẻ tấn công đăng ký một mã thông báo giả CVT chỉ có thanh khoản thực tế vài trăm USD, tạo ảo giác giá cả thông qua mua bán nội bộ, rồi gửi 500 triệu CVT làm tài sản thế chấp vào giao thức để vay 285 triệu USD USDC, SOL và ETH. Toàn bộ quá trình thực thi chỉ kéo dài 12 phút.
Đội an ninh SEAL 911 và ban điều hành Drift xác định tổ chức liên quan đến DPRK (tổ chức tin tặc được nhà nước Triều Tiên hậu thuẫn) là thủ phạm với độ tin cậy “trung bình đến cao”; người thực hiện không phải công dân Triều Tiên, mà là các trung gian bên thứ ba do họ điều khiển để tiếp xúc ngoại tuyến.
6. Tên dự án: WazirX (Số tiền bị đánh cắp: 235 triệu USD | Thời gian: Tháng 7 năm 2024)
Nguyên nhân bị đánh cắp: Hạt nhân của cuộc tấn công này là ví đa chữ ký bị phá vỡ từng bước và cuối cùng bị thay thế bằng hợp đồng độc hại.
Kẻ tấn công trước tiên chiếm được đặc quyền của một số người ký (bao gồm cả xâm nhập trực tiếp và dụ dỗ ký) thông qua các phương thức như lừa đảo (phishing). Trên cơ sở đó, chúng lại sử dụng giao diện giả mạo để đánh lừa các người ký còn lại, khiến họ phê duyệt giao dịch độc hại mà không hề hay biết.
Sau khi thu thập đủ chữ ký, kẻ tấn công không chuyển tài sản ngay lập tức, mà lợi dụng cơ chế có thể nâng cấp của ví đa chữ ký để thực hiện một lần nâng cấp hợp đồng, thay thế hợp đồng thực thi gốc bằng hợp đồng độc hại do chúng triển khai.
Sau khi hợp đồng độc hại được thiết lập làm logic thực thi mới, mọi giao dịch tiếp theo đều bị chuyển hướng, khiến tài sản liên tục chảy về địa chỉ của kẻ tấn công. Cuối cùng, quyền kiểm soát ví đa chữ ký bị hoàn toàn chiếm đoạt và tài sản trên chuỗi bị chuyển dần ra ngoài.
7. Tên dự án: Cetus (Số tiền bị đánh cắp: 223 triệu USD | Thời gian: Tháng 5 năm 2025)
Nguyên nhân bị đánh cắp: Cuộc tấn công này bắt nguồn từ lỗ hổng tràn số học (arithmetic overflow) trong quá trình tính toán thanh khoản của giao thức.
Cụ thể, hàm toán học được Cetus sử dụng để xử lý phép tính số lớn có sai sót trong việc kiểm tra giới hạn. Khi một giá trị đạt đúng ngưỡng tới hạn, hệ thống không nhận ra nguy cơ tràn số sắp xảy ra và vẫn tiếp tục thực hiện phép tính, dẫn đến kết quả bị phóng đại bất thường.
Kẻ tấn công đã xây dựng một quy trình thao tác dựa trên điểm yếu này: đầu tiên tạo điều kiện giá cực đoan thông qua giao dịch khối lượng lớn, sau đó tạo vị thế thanh khoản trong một khoảng giá cụ thể với số lượng tài sản đầu tư cực nhỏ (cấp độ “dust”). Trong các điều kiện này, vấn đề tràn số trong hợp đồng bị kích hoạt, khiến hệ thống tính toán sai rằng kẻ tấn công đáng lẽ phải được hưởng một tỷ lệ thanh khoản vượt xa so với số vốn thực tế đã đầu tư.
Sau đó, kẻ tấn công lợi dụng các tỷ lệ thanh khoản bị phóng đại này để thực hiện thao tác rút thanh khoản, rút ra từ hồ thanh khoản một lượng tài sản vượt xa số vốn đã bỏ vào. Quá trình này có thể lặp lại nhiều lần, từ đó liên tục rút tài sản khỏi hồ, gây tổn thất quy mô lớn.
8. Tên dự án: Gala Games (Số tiền bị đánh cắp: 216 triệu USD | Thời gian: Tháng 5 năm 2024)
Nguyên nhân bị đánh cắp: Hạt nhân của cuộc tấn công này là khóa riêng của tài khoản đúc tiền (mint account) có đặc quyền cao bị xâm nhập, dẫn đến cơ chế kiểm soát truy cập thất bại.
Hợp đồng Gala vốn đặt giới hạn đặc quyền cho chức năng đúc tiền, nhưng khóa riêng của một tài khoản có đặc quyền đúc tiền (minter account) đã bị kẻ tấn công chiếm đoạt. Tài khoản này lâu nay không được sử dụng, song vẫn duy trì đầy đủ đặc quyền cao.
Sau khi giành quyền kiểm soát tài khoản này, kẻ tấn công trực tiếp gọi hàm đúc tiền của hợp đồng để đúc khoảng 5 tỷ token GALA và chuyển vào địa chỉ cá nhân. Tiếp đó, chúng chia nhỏ số token này để bán đổi lấy ETH trên thị trường nhằm thu lợi.
Toàn bộ quá trình không khai thác lỗ hổng hợp đồng thông minh, mà thực hiện hành vi độc hại thông qua đặc quyền hợp pháp.
9. Tên dự án: Mixin Network (Số tiền bị đánh cắp: 200 triệu USD | Thời gian: Tháng 9 năm 2023)
Nguyên nhân bị đánh cắp: Hạt nhân của cuộc tấn công này là Mixin lưu trữ khóa riêng trong một cơ sở dữ liệu đám mây được quản lý tập trung.
Mixin Network tuyên bố được duy trì bởi 35 nút chính, hỗ trợ chuyển tiền chéo chuỗi trên 48 chuỗi công khai, nhưng khóa riêng của ví nóng và rất nhiều địa chỉ gửi tiền của nó được lưu trữ dưới dạng “có thể khôi phục” trong cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây bên thứ ba. Vào rạng sáng ngày 23 tháng 9 năm 2023, kẻ tấn công xâm nhập cơ sở dữ liệu này và trích xuất hàng loạt khóa riêng.
Sau khi có được khóa riêng, kẻ tấn công không cần giải mã bất kỳ logic hợp đồng nào, mà trực tiếp ký giao dịch dưới danh nghĩa hợp pháp. Ghi chép trên chuỗi cho thấy chúng lần lượt rút sạch các địa chỉ theo thứ tự giảm dần của số dư, thực hiện hơn 10.000 giao dịch trong nhiều giờ, với tài sản chủ yếu gồm khoảng 95,3 triệu USD ETH, 23,7 triệu USD BTC và 23,6 triệu USD USDT; trong đó USDT được nhanh chóng đổi sang DAI để tránh bị đóng băng.
10. Tên dự án: Euler Finance (Số tiền bị đánh cắp: 197 triệu USD | Thời gian: Tháng 3 năm 2023)
Nguyên nhân bị đánh cắp: Hạt nhân của cuộc tấn công này là sự không nhất quán trong logic tính toán tài sản và nợ nội bộ của giao thức, bị khai thác và khuếch đại thông qua vay chớp nhoáng (flash loan).
Cụ thể, hàm DonateToReserve của Euler khi thực thi chỉ hủy token eToken đại diện cho tài sản thế chấp, nhưng không đồng bộ hủy token dToken đại diện cho khoản nợ, dẫn đến mối quan hệ “thế chấp – nợ” trong hệ thống bị phá vỡ.
Trong tình huống này, giao thức sẽ nhầm tưởng tài sản thế chấp giảm và cấu trúc nợ thay đổi, từ đó tạo ra trạng thái tài sản bất thường.
Kẻ tấn công xây dựng một quy trình thao tác toàn diện dựa trên điểm yếu này: đầu tiên vay một lượng lớn tiền thông qua vay chớp nhoáng, sau đó gửi và vay trong giao thức, lặp đi lặp lại việc điều chỉnh số lượng eToken và dToken. Nhờ khai thác lỗ hổng logic nói trên, hệ thống liên tục tạo ra trạng thái tài sản/nợ sai lệch, từ đó cấp cho kẻ tấn công hạn mức vay vượt xa khả năng thế chấp thực tế.
Sau khi có được khả năng vay được khuếch đại bất thường, kẻ tấn công tiếp tục rút tiền theo từng đợt và đổi ra nhiều loại tài sản (DAI, USDC, stETH, wBTC). Toàn bộ quá trình được thực hiện trong một giao dịch duy nhất và được nhân rộng qua nhiều lần thao tác để tối đa hóa lợi nhuận, gây tổn thất khoảng 197 triệu USD.
II. Mười dự án bị đánh cắp gần đây
1. Tên dự án: Hyperbridge (Số tiền bị đánh cắp: khoảng 2,5 triệu USD, Tháng 4 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của sự việc là logic xác minh chứng minh (proof verification) tại Cổng Token (Token Gateway) có khuyết điểm.
Kẻ tấn công lợi dụng việc thiếu kiểm tra đầu vào trong việc xác minh chứng minh MMR (Merkle Mountain Range), giả mạo một chứng minh chéo chuỗi vốn không nên được chấp nhận. Do hệ thống nhầm lẫn coi chứng minh vô hiệu này là hợp lệ, kẻ tấn công tiếp tục giành được quyền quản lý hợp đồng DOT được cầu nối (bridged DOT) trên Ethereum, sau đó đúc khoảng 1 tỷ token DOT giả và bán tháo trên Dex.
Đồng thời, vụ tấn công cũng ảnh hưởng đến các hồ DOT trên Ethereum, Base, BNB Chain và Arbitrum; sau đó, ước tính tổn thất ban đầu khoảng 237.000 USD đã được điều chỉnh lên khoảng 2,5 triệu USD.
2. Tên dự án: Venus Protocol (Số tiền bị đánh cắp: khoảng 3,7–5 triệu USD, Tháng 3 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là việc kiểm tra giới hạn cung (supply cap) có thể bị bỏ qua, kết hợp với việc khai thác logic tính toán tỷ lệ đổi (exchange rate).
Cụ thể, Venus khi tính toán tài sản thị trường, trực tiếp sử dụng balanceOf() để đọc số dư thực tế trong hợp đồng; nhưng giới hạn supply cap chỉ được kiểm tra trong quy trình mint().
Kẻ tấn công chuyển trực tiếp tài sản nền (ERC-20 transfer) vào hợp đồng vToken, từ đó bỏ qua mint() và né được kiểm tra supply cap.
Vì số tiền này được tính vào số dư hợp đồng, hệ thống khi tính exchange rate sẽ cho rằng tài sản hồ tăng lên, nhưng số lượng vToken tương ứng lại không tăng, dẫn đến tỷ lệ đổi bị nâng cao bất thường.
Trong tình huống này, giá trị tài sản thế chấp sẵn có của kẻ tấn công bị phóng đại, giúp chúng có được khả năng vay vượt xa giá trị thực tế.
Sau đó, kẻ tấn công lợi dụng giá trị thế chấp bị phóng đại để lặp đi lặp lại chu kỳ “vay → đẩy giá lên → vay tiếp”, rút ra nhiều loại tài sản từ giao thức và cuối cùng gây tổn thất khoảng 5 triệu USD.
3. Tên dự án: Resolv Labs (Số tiền bị đánh cắp: khoảng 23–25 triệu USD, Tháng 3 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là khóa riêng ký quan trọng bị xâm nhập, và hợp đồng trên chuỗi không áp dụng kiểm tra giới hạn đối với việc đúc tiền.
Quy trình đúc USR của Resolv phụ thuộc vào một dịch vụ ngoại chuỗi: người dùng gửi yêu cầu trước, sau đó một hệ thống nắm giữ khóa riêng đặc quyền (SERVICE_ROLE) ký xác nhận, và cuối cùng hợp đồng thực hiện việc đúc tiền.
Nhưng bản thân hợp đồng chỉ kiểm tra “chữ ký có hợp lệ hay không”, chứ không xác minh “số lượng đúc ra có hợp lý hay không”, cũng không có giới hạn tỷ lệ thế chấp, oracle giá hoặc giới hạn đúc tối đa.
Kẻ tấn công xâm nhập cơ sở hạ tầng đám mây của dự án và chiếm được khóa riêng ký này, từ đó có thể tự tạo chữ ký hợp lệ.
Sau khi có được đặc quyền ký, kẻ tấn công sử dụng một lượng nhỏ USDC (khoảng 100.000–200.000 USD) làm đầu vào, giả mạo tham số và trực tiếp đúc khoảng 80 triệu USR không có tài sản thế chấp nào hỗ trợ.
Sau đó, các token USR không có thế chấp này được nhanh chóng đổi sang các stablecoin khác và cuối cùng thành ETH, tài sản được chuyển dần ra ngoài, đồng thời lượng cung tăng mạnh khiến giá USR nhanh chóng mất neo (de-peg).
4. Tên dự án: Saga (Số tiền bị đánh cắp: khoảng 7 triệu USD, Tháng 1 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là logic xác minh tại cầu nối EVM precompile có khuyết điểm.
SagaEVM sử dụng triển khai EVM dựa trên Ethermint, và mã nguồn này chứa một lỗ hổng chưa được phát hiện, ảnh hưởng đến logic xác minh giao dịch của cầu nối chéo chuỗi.
Kẻ tấn công tạo ra giao dịch đặc biệt để bỏ qua việc kiểm tra “tài sản thế chấp đã thực sự được gửi vào chưa” và “giới hạn cung stablecoin” trong quá trình cầu nối.
Khi việc xác minh bị bỏ qua, hệ thống sẽ xử lý những thông điệp giả mạo này như các hoạt động chéo chuỗi hợp pháp và đúc số lượng stablecoin tương ứng theo quy trình. Vì không có tài sản thế chấp thực tế, kẻ tấn công có thể đúc lượng lớn stablecoin không tốn chi phí và đổi chúng lấy tài sản thực tế trong giao thức.
Cuối cùng, tài sản của giao thức bị rút liên tục, stablecoin mất neo và khoảng 7 triệu USD tài sản bị chuyển ra ngoài.
5. Tên dự án: Solv (Số tiền bị đánh cắp: khoảng 2,5 triệu USD, Tháng 3 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là hợp đồng BRO Vault có lỗ hổng đúc tiền kép (do reentrancy gây ra).
Cụ thể, khi hợp đồng nhận tài sản ERC-3525, nó sẽ gọi doSafeTransferIn, trong khi ERC-3525 dựa trên ERC-721 và trong quá trình chuyển an toàn sẽ kích hoạt callback onERC721Received.
Trong quy trình này, hợp đồng thực hiện một lần đúc tiền trong luồng chính, đồng thời lại kích hoạt một lần đúc tiền khác trong callback.
Vì callback xảy ra trước khi lần đúc tiền đầu tiên hoàn tất, kẻ tấn công có thể kích hoạt hai lần đúc tiền trong một lần gửi vào duy nhất, tạo thành đường dẫn reentrancy điển hình. Bằng cách khai thác lặp lại lỗ hổng này, kẻ tấn công biến một lượng tài sản nhỏ thành số lượng lớn BRO, sau đó đổi chúng lấy SolvBTC và chuyển ra ngoài.
6. Tên dự án: Aave (Ảnh hưởng gián tiếp, rủi ro nợ xấu khoảng 177–236 triệu USD, Tháng 4 năm 2026)
Nguồn gốc bị đánh cắp: Lỗ hổng trực tiếp không nằm ở Aave, mà bắt nguồn từ sự thất bại của cơ chế xác minh cầu nối chéo chuỗi của Kelp DAO.
Kẻ tấn công gửi một thông điệp giả mạo tới cầu nối chéo chuỗi dựa trên LayerZero, khiến hệ thống phát hành và đúc khoảng 116.500 rsETH mà không thực sự gửi ETH vào. Những rsETH này không có tài sản thực tế hỗ trợ, nhưng trong hệ thống lại được sử dụng như tài sản thế chấp bình thường.
Sau đó, kẻ tấn công gửi những rsETH không có thế chấp này vào Aave làm tài sản thế chấp và vay một lượng lớn tài sản thực tế (WETH). Do các tham số cấu hình của Aave cho phép thế chấp và vay quy mô lớn, kẻ tấn công đã hoàn tất việc vay và chuyển tiền trong thời gian ngắn.
Kết quả cuối cùng là: kẻ tấn công sử dụng phương thức “giả mạo tài sản thế chấp → vay tài sản thực tế”, chuyển toàn bộ rủi ro sang Aave, tạo thành khoản nợ xấu quy mô lớn.
7. Tên dự án: YieldBlox (Số tiền bị đánh cắp: khoảng 10,2 triệu USD, Tháng 2 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là giá oracle có thể bị thao túng bởi một giao dịch duy nhất (thị trường thanh khoản thấp + cơ chế VWAP).
Trước khi xảy ra tấn công, cặp giao dịch USTRY/USDC gần như không có thanh khoản, và không có giao dịch bình thường nào trong cửa sổ giá oracle. Oracle Reflector được YieldBlox sử dụng dựa trên VWAP (giá trung bình có trọng số theo khối lượng), trong tình huống này, một giao dịch duy nhất có thể quyết định giá.
Kẻ tấn công đầu tiên đặt lệnh với giá cực đoan (khoảng 500 USDC / USTRY), sau đó dùng một tài khoản khác thực hiện giao dịch với khối lượng cực nhỏ (chỉ khoảng 0,05 USTRY), thành công nâng giá oracle lên khoảng 106 USD.
Sau khi giá bị phóng đại, USTRY do kẻ tấn công nắm giữ được hệ thống coi là tài sản thế chấp có giá trị cao, từ đó cấp cho chúng hạn mức vay vượt xa giá trị thực tế. Sau đó, kẻ tấn công trực tiếp vay toàn bộ tài sản trong hồ (XLM và USDC) để rút tiền.
8. Tên dự án: Step Finance (Số tiền bị đánh cắp: khoảng 30–40 triệu USD, Tháng 1 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là thiết bị của các thành viên cốt lõi dự án bị xâm nhập, dẫn đến mất kiểm soát khóa riêng hoặc quy trình ký.
Kẻ tấn công xâm nhập thiết bị của các lãnh đạo đội ngũ, từ đó giành quyền truy cập vào ví kiểm soát dự án. Việc truy cập này có thể bao gồm việc trực tiếp chiếm được khóa riêng, hoặc cài đặt phần mềm độc hại can thiệp vào quy trình ký giao dịch, khiến quản lý phê duyệt giao dịch độc hại mà không hề hay biết.
Sau khi giành được quyền kiểm soát, kẻ tấn công thực hiện các thao tác trên nhiều ví Solana do dự án kiểm soát, bao gồm hủy bỏ thế chấp (unstake) tài sản và chuyển tiền ra ngoài. Toàn bộ quá trình không liên quan đến lỗ hổng hợp đồng thông minh, mà thực hiện chuyển tiền trực tiếp thông qua đặc quyền ví đã chiếm được.
Cuối cùng, tài sản dự án bị chuyển ra ngoài quy mô lớn, gây tổn thất khoảng 30 triệu USD và khiến giá token giảm mạnh.
9. Tên dự án: Truebit (Số tiền bị đánh cắp: khoảng 26 triệu USD, Tháng 1 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là lỗ hổng tràn số nguyên (integer overflow) trong hàm định giá mua TRU.
Trong quá trình tính toán giá khi gọi buyTRU(), có nhiều phép nhân và cộng số lớn, nhưng hợp đồng sử dụng phiên bản Solidity 0.6.10 để biên dịch, mặc định không kiểm tra tràn số.
Khi kẻ tấn công truyền một tham số lớn đặc biệt, giá trị trung gian xảy ra tràn số, quay vòng (wrap around), khiến giá mua cuối cùng được tính toán bị hạ thấp bất thường, thậm chí bằng 0.
Trong tình huống này, kẻ tấn công có thể mua một lượng lớn TRU với chi phí cực thấp hoặc bằng 0.
Trong khi đó, logic bán (sellTRU()) của giao thức vẫn tính toán theo quy tắc bình thường, cho phép đổi theo tỷ lệ với nguồn dự trữ ETH trong hợp đồng.
Kẻ tấn công sau đó lặp đi lặp lại chu trình:
👉 Mua TRU với giá thấp/không chi phí → bán theo giá bình thường → rút ETH
Thông qua nhiều vòng thao tác, chúng liên tục rút tiền từ giao thức, gây tổn thất khoảng 26 triệu USD.
10. Tên dự án: Makina (Số tiền bị đánh cắp: khoảng 4,1 triệu USD, Tháng 1 năm 2026)
Nguồn gốc bị đánh cắp: Hạt nhân của cuộc tấn công là việc phụ thuộc vào dữ liệu từ các hồ Curve bên ngoài để tính toán AUM / sharePrice, thiếu kiểm tra và bị khai thác bởi vay chớp nhoáng.
Kẻ tấn công vay một khoản tiền lớn thông qua vay chớp nhoáng, tạm thời đưa thanh khoản vào nhiều hồ Curve và thực hiện giao dịch, làm thay đổi trạng thái hồ và kết quả tính toán liên quan (ví dụ: giá trị LP, kết quả tính toán rút tiền…).
Dữ liệu bị thao túng này được giao thức sử dụng trực tiếp để tính toán AUM (quy mô quản lý tài sản), từ đó ảnh hưởng tiếp tới sharePrice.
Vì thiếu kiểm tra hiệu lực hoặc xử lý theo trọng số thời gian đối với dữ liệu bên ngoài, hệ thống coi những dữ liệu bất thường này là giá trị thực, dẫn đến:
- AUM bị nâng cao mạnh mẽ
- sharePrice bị phóng đại bất thường
Sau khi sharePrice bị nâng cao, kẻ tấn công thực hiện giao dịch chênh lệch giá để đổi tài sản từ hồ DUSD/USDC ra ngoài và thu lợi.
III. Các quy luật chung và bài học rút ra từ 20 vụ bị đánh cắp
Từ 20 vụ việc này, chúng ta thực tế có thể thấy một xu hướng ngày càng rõ ràng: con đường mà tin tặc dùng để đánh cắp tài sản khổng lồ rốt cuộc chỉ có hai: lỗ hổng kỹ thuật và kỹ thuật xã hội.
1️⃣ Lỗ hổng kỹ thuật: Từ phân bố thời gian của các vụ lỗ hổng kỹ thuật, ta có thể thấy một lộ trình di chuyển rõ ràng.
Các lỗ hổng kỹ thuật đầu kỳ tập trung chủ yếu vào cầu nối chéo chuỗi, vì đây là cơ sở hạ tầng mở rộng nhanh nhất, mã mới nhất và được kiểm toán yếu nhất trong giai đoạn DeFi lúc bấy giờ. Nó nắm giữ lượng tài sản lớn, nhưng chưa trải qua đủ kiểm nghiệm đối kháng.
Sau đó, ngành công nghiệp bắt đầu chú trọng hơn đến an toàn cầu nối chéo chuỗi, cơ chế xác minh được tăng cường phổ biến, các lỗ hổng kỹ thuật quy mô lớn ở cầu nối chéo chuỗi rõ ràng giảm đi. Nhưng lỗ hổng không biến mất, mà chỉ chuyển sang nơi khác — dịch chuyển vào logic toán học nội bộ của các giao thức DeFi, thiết kế oracle và sự phụ thuộc vào thư viện bên thứ ba.
- Cetus: Điều kiện giới hạn trong thư viện toán học bị viết sai,
- Truebit: Tràn số nguyên trên trình biên dịch phiên bản cũ,
- YieldBlox: Niềm tin quá mức của oracle vào thị trường thanh khoản thấp.
Bản chất đằng sau tất cả chỉ có một: diện tấn công luôn đi theo dòng tài sản, theo độ mới cũ của mã nguồn và theo những vùng mù trong kiểm toán. Khi một loại cơ sở hạ tầng bị tấn công tập trung, ngành công nghiệp bắt đầu chú ý, phòng thủ được tăng cường, thì kẻ tấn công lại chuyển sang nơi phát triển nhanh nhất và phòng thủ yếu nhất tiếp theo.
2️⃣ Kỹ thuật xã hội: Trong 20 vụ bị đánh cắp, có 4 vụ đã được xác nhận hoặc quy kết với độ tin cậy cao cho tổ chức tin tặc nhà nước Triều Tiên — Ronin, WazirX, Bybit và Drift, với tổng tổn thất vượt quá 2,5 tỷ USD.
Theo dữ liệu từ Chainalysis, các tổ chức tin tặc liên quan đến Triều Tiên chỉ riêng trong năm 2025 đã đánh cắp hơn 2 tỷ USD tài sản mã hóa, chiếm gần 60% tổng số tiền mã hóa bị đánh cắp toàn cầu trong năm đó. So với năm 2024, số lần tấn công của tin tặc Triều Tiên giảm 74%, nhưng giá trị trung bình mỗi lần tấn công tăng mạnh.
Chiêu thức của tin tặc Triều Tiên cũng liên tục nâng cấp: từ việc xâm nhập trực tiếp hệ thống nội bộ trong thời kỳ Ronin, đến tấn công chuỗi cung ứng tại Bybit, rồi tới việc xâm nhập ngoại tuyến trong sáu tháng tại Drift — mỗi lần đều tìm ra cách thức mới vượt ra ngoài các hàng rào phòng thủ hiện có.
Điều đáng lo ngại hơn nữa là tin tặc Triều Tiên còn cài cắm hàng loạt nhân viên nội gián giả dạng nhà phát triển trên toàn ngành mã hóa toàn cầu; một khi đã gia nhập công ty mục tiêu, những người này sẽ nắm rõ cấu trúc hệ thống nội bộ, giành quyền truy cập kho mã nguồn và âm thầm cài backdoor vào mã sản xuất.
Phạm vi ảnh hưởng của các vụ bị đánh cắp đang mở rộng: các vụ bị đánh cắp đầu kỳ chủ yếu giới hạn trong phạm vi giao thức bị tấn công, nhưng khi tính khả tổ hợp (composability) của DeFi ngày càng sâu sắc, ảnh hưởng từ một điểm đơn lẻ bắt đầu lan tỏa ra ngoài.
- Drift: Sau khi bị đánh cắp, ít nhất 20 giao thức phụ thuộc vào thanh khoản hoặc chiến lược của nó đã gặp gián đoạn, tạm dừng hoặc chịu tổn thất trực tiếp; Carrot Protocol có tới 50% TVL bị ảnh hưởng.
- Aave: Bản thân hợp đồng Aave hoàn toàn không có vấn đề gì, nhưng chỉ vì chấp nhận rsETH của Kelp DAO làm tài sản thế chấp, sự thất bại trong xác minh cầu nối bên ngoài đã trực tiếp chuyển hóa thành rủi ro nợ xấu cho Aave.
Các quy luật này rốt cuộc đều chỉ về một thực tế: việc gửi tài sản vào một giao thức không chỉ đơn thuần là đặt niềm tin vào mã nguồn của giao thức đó. Bạn đồng thời cũng đang tin tưởng vào mọi tài sản bên ngoài mà giao thức phụ thuộc, mọi dịch vụ bên thứ ba và cả khả năng phán đoán cũng như an toàn trong thao tác của những người nắm giữ quyền quản lý.
Gần đây, tin tức về các vụ bị đánh cắp cứ nối tiếp nhau không dứt; Polymarket mới ra mắt thị trường “Năm nay có dự án nào trong lĩnh vực tiền mã hóa bị đánh cắp trên 100 triệu USD không?” trong tháng này, nhưng chưa đầy một tháng thị trường đã phải thanh toán. Đây không phải ngẫu nhiên: quy mô tài sản DeFi đang tăng lên, sự phụ thuộc giữa các giao thức ngày càng sâu sắc, nhưng năng lực bảo vệ tài sản lại chưa theo kịp tốc độ này.
Áp lực về an ninh vẫn chưa được giảm bớt, trong khi chiều kích đe dọa lại ngày càng gia tăng. Tháng 4 năm 2026, Claude Mythos Preview do Anthropic phát hành đã phát hiện hàng nghìn lỗ hổng nghiêm trọng trong mọi hệ điều hành và trình duyệt phổ biến trong quá trình thử nghiệm, đồng thời có thể chuyển đổi 72% các lỗ hổng đã biết thành các đường dẫn tấn công khả dụng.
Một khi khả năng này được áp dụng hệ thống để quét các hợp đồng thông minh, điều đó có nghĩa là các lỗ hổng trong ngành DeFi sẽ được phát hiện và khai thác với tốc độ chưa từng có. Đồng thời, các dự án cũng có thể chủ động sử dụng công cụ này để tự kiểm tra, sớm nhận diện và khắc phục các rủi ro tiềm ẩn, từ đó nâng cao hơn nữa năng lực phòng vệ an ninh của chính mình.
⏰ Đối với người dùng thông thường, những vụ việc này mang lại một số bài học trực tiếp:
- Không nên tập trung tài sản vào một giao thức duy nhất. Lưu trữ phân tán tuy không thể loại bỏ hoàn toàn rủi ro, nhưng có thể kiểm soát mức tổn thất tối đa trong mỗi lần.
- Duy trì khoảng cách với các giao thức mới. Phần lớn lỗ hổng kỹ thuật đều được phát hiện trong giai đoạn đầu sau khi giao thức ra mắt. Một giao thức đã vận hành hai năm, trải qua nhiều vòng kiểm toán và kiểm tra áp lực thực tế, an toàn hơn nhiều so với một giao thức vừa ra mắt đã đưa ra lợi suất cao.
- Xem xét liệu giao thức có thực sự sinh lời hay không. Một giao thức có khả năng sinh lời sẽ có khả năng bồi thường thực tế khi xảy ra tổn thất. Còn những giao thức chỉ duy trì hoạt động nhờ phần thưởng token, không có doanh thu thực tế, một khi xảy ra sự cố, phương án bồi thường thường chỉ là phát token mới hoặc vẽ bánh vẽ.
Một cơ sở hạ tầng tài chính thực sự trưởng thành sẽ không bao giờ để an ninh luôn xếp sau các chỉ số tăng trưởng. Trước khi ngày đó đến, tin tức về các vụ bị đánh cắp sẽ không bao giờ ngừng lại.
Thông báo rủi ro: Toàn bộ nội dung bài viết này chỉ mang tính tham khảo thông tin, không cấu thành bất kỳ khuyến nghị đầu tư nào. Thị trường tài sản mã hóa biến động mạnh, hợp đồng thông minh tồn tại rủi ro vốn có; vui lòng đưa ra quyết định độc lập sau khi đã hiểu rõ đầy đủ các rủi ro.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@BiteyeCN
