Tổng kết 20 vụ bị đánh cắp: Vì sao thị trường tiền mã hóa luôn bị tấn công?
Tuyển chọn TechFlowTuyển chọn TechFlow
Tổng kết 20 vụ bị đánh cắp: Vì sao thị trường tiền mã hóa luôn bị tấn công?
Tổng hợp 20 vụ tấn công đánh cắp tiền mã hóa, phân tích hai con đường mà tin tặc thường sử dụng, cũng như lý do vì sao khi một giao thức gặp sự cố, toàn bộ hệ sinh thái đều chịu ảnh hưởng.
Chuyên sâu báo cáo Web3Tác giả: Đội nội dung Changan I Biteye
Tháng 4 năm 2026, Kelp DAO bị tấn công và mất 292 triệu USD; kẻ tấn công đã vay tài sản thực từ Aave bằng các token không có thế chấp, gây ra hơn 200 triệu USD nợ xấu chỉ trong vòng 46 phút.
Đây chỉ là một trong nhiều vụ bị đánh cắp xảy ra trong năm nay: Drift bị mất 285 triệu USD, Step Finance bị mất khoảng 30 triệu USD, Resolv Labs bị mất khoảng 23 triệu USD — những tin tức về các vụ bị đánh cắp nối tiếp nhau không dứt, ngành công nghiệp còn chưa kịp phản ứng thì dự án tiếp theo đã bị tấn công.
Liệu đằng sau những sự việc này có tồn tại quy luật nào? Hacker thực tế tấn công các giao thức như thế nào?
Bài viết này tổng hợp 20 vụ bị đánh cắp tiêu biểu nhất trong lịch sử và gần đây nhằm tìm ra câu trả lời.
Theo phân tích 20 vụ việc được chúng tôi tổng hợp, có thể nhận thấy ba quy luật rõ ràng:
- Các vụ do lỗ hổng kỹ thuật chiếm đa số nhưng mức tổn thất từng lần tương đối hạn chế; ngược lại, dù số lượng vụ do xâm phạm đặc quyền hoặc kỹ thuật xã hội (social engineering) ít hơn, chúng lại chiếm phần lớn tổng thiệt hại.
- Mức độ nghiêm trọng của các vụ tấn công liên quan đến đặc quyền đang ngày càng gia tăng. Trong số 20 vụ việc, bốn vụ tổn thất lớn nhất đều có dấu vết của hacker Triều Tiên.
- “Chiến trường” của các lỗ hổng kỹ thuật đang dịch chuyển — cầu nối chéo chuỗi (cross-chain bridge) chưa bao giờ an toàn.
I. Mười dự án bị đánh cắp với số tiền lớn nhất
1. Tên dự án: Bybit (Số tiền bị đánh cắp: 1,5 tỷ USD | Thời gian: Tháng 2 năm 2025)
Nguyên nhân bị đánh cắp:
Tổ chức hacker Triều Tiên Lazarus Group (được FBI và ZachXBT xác định với độ tin cậy cao, hoạt động mang mật danh “TraderTraitor”) đã phá vỡ cơ chế đa chữ ký (multi-sig) của ví Safe Wallet thông qua việc khống chế giao diện người dùng (UI) phía trước + gian lận đa chữ ký.
Kẻ tấn công đã tiêm mã JavaScript độc hại vào giao diện phía trước của ví Safe. Khi những người giữ chữ ký đa (6 người ký) thực hiện giao dịch chuyển tiền từ ví lạnh thông thường, giao diện hiển thị địa chỉ người nhận và số tiền bình thường, nhưng dữ liệu gọi (Call Data) ở tầng nền bị thay đổi, khiến 401.000 ETH bị chuyển hướng tới địa chỉ của kẻ tấn công. Dưới chiêu bài “nhìn thấy không phải là sở hữu”, 3/6 người ký đã phê duyệt giao dịch, dẫn đến việc tài sản lập tức biến mất.
Vấn đề cốt lõi: Cơ chế đa chữ ký phụ thuộc vào lớp tương tác giữa người và máy; việc thiếu kiểm tra độc lập ở tầng giao diện khiến tính bảo mật toán học trở nên vô hiệu; Tether đã đóng băng USDT liên quan trong vòng vài giờ, trong khi Circle chậm trễ 24 giờ mới đóng băng USDC, làm trầm trọng thêm tổn thất. Sự việc này phơi bày mối đe dọa chết người của kỹ thuật xã hội kết hợp tấn công UI đối với các sàn giao dịch tập trung, thúc đẩy sự ra đời của các mạng lưới xác minh giao dịch như Safenet.
Sự kiện này có mô hình rất giống với Drift Protocol (tháng 4 năm 2026, 285 triệu USD): tấn công kỹ thuật xã hội có chủ đích nhằm xây dựng lòng tin, sau đó tiến hành gian lận UI/ký tên — đánh dấu bước chuyển dịch của hacker từ khai thác lỗ hổng hợp đồng thông minh sang khai thác “điểm yếu giữa người và máy”.
Trong quá trình xử lý hậu sự, Bybit đã nhanh chóng sử dụng nguồn vốn nội bộ để bù đắp đầy đủ toàn bộ tổn thất, đảm bảo người dùng không chịu bất kỳ tổn thất nào; hiện tại nền tảng vận hành ổn định.
2. Tên dự án: Ronin Network (Số tiền bị đánh cắp: 624 triệu USD | Thời gian: Tháng 3 năm 2022)
Nguyên nhân bị đánh cắp: Tổ chức hacker Triều Tiên Lazarus Group đã sử dụng kỹ thuật xã hội và cài cắm cửa hậu để giành quyền kiểm soát toàn bộ khóa riêng của các nút xác thực.
Kẻ tấn công xâm nhập hệ thống nội bộ của Sky Mavis và lợi dụng cửa hậu trong nút RPC miễn phí gas để kiểm soát 5 trong số 9 nút xác thực (gồm 4 nút của Sky Mavis và 1 nút của Axie DAO). Sau đó, chúng tạo ra hai giao dịch rút tiền giả mạo nhằm rút trái phép 173.600 ETH và 25,5 triệu USDC.
Nguyên nhân cốt lõi của sự việc nằm ở thiết kế cầu nối chéo chuỗi, trong đó quyền xác thực tập trung quá mức vào một số lượng nhỏ nút. Ngưỡng yêu cầu 5 chữ ký từ tổng số 9 nút trở nên gần như vô nghĩa trước các cuộc tấn công kỹ thuật xã hội có chủ đích.
3. Tên dự án: Poly Network (Số tiền bị đánh cắp: 611 triệu USD | Thời gian: Tháng 8 năm 2021)
Nguyên nhân bị đánh cắp: Nguyên nhân cốt lõi khiến Poly Network bị đánh cắp là thiết kế quản lý đặc quyền trong hợp đồng chéo chuỗi có lỗ hổng nghiêm trọng.
Kẻ tấn công đã tận dụng mối quan hệ giữa hai hợp đồng có đặc quyền cao là EthCrossChainManager và EthCrossChainData để giả mạo một lời gọi hàm có thể thực thi. Vì EthCrossChainManager bản thân có đặc quyền sửa đổi khóa công khai của Keeper, trong khi tham số _method được sử dụng khi gọi lại có thể do người dùng tùy chỉnh, kẻ tấn công đã thành công trong việc tạo va chạm băm (hash collision), từ đó gọi được hàm putCurEpochConPubKeyBytes — vốn chỉ dành riêng cho đặc quyền cao.
Như vậy, kẻ tấn công đã thay thế khóa công khai hợp pháp của người quản lý bằng khóa công khai của chính mình, từ đó giành quyền kiểm soát tài sản chéo chuỗi và cuối cùng chuyển tiền từ nhiều chuỗi ra ngoài.
4. Tên dự án: Wormhole (Số tiền bị đánh cắp: 326 triệu USD | Thời gian: Tháng 2 năm 2022)
Nguyên nhân bị đánh cắp: Thông thường, khi người dùng muốn chuyển tài sản từ một chuỗi sang chuỗi khác, hệ thống phải xác minh trước rằng tài sản đó thực sự đã được gửi vào và các chữ ký liên quan cũng thực sự hợp lệ; chỉ khi đó chuỗi đích mới phát hành tài sản tương ứng.
Vấn đề của Wormhole nằm ở bước “xác minh chữ ký” này. Mã nguồn của Wormhole sử dụng một hàm đã lỗi thời và không đủ an toàn để kiểm tra tính hợp lệ của giao dịch. Hàm này vốn được thiết kế để xác nhận: liệu hệ thống đã thực hiện xong bước xác minh chữ ký hay chưa. Nhưng kiểm tra của nó không chặt chẽ, tạo kẽ hở cho kẻ tấn công khai thác.
Kẻ tấn công lợi dụng lỗ hổng này để giả mạo một bộ thông tin “đã được xác minh thành công”, khiến hệ thống nhầm tưởng rằng thao tác chéo chuỗi là hợp lệ. Nói cách khác, hệ thống lẽ ra phải xác minh trước “tiền đã thực sự được khóa vào chưa”, nhưng vì bước xác minh bị bỏ qua, hệ thống trực tiếp tin tưởng chứng cứ giả do kẻ tấn công cung cấp.
Hệ quả là kẻ tấn công đã đúc hàng loạt wETH mà không cần gửi thật tài sản, sau đó tiếp tục chuyển và đổi các tài sản này, gây tổn thất khoảng 326 triệu USD cho Wormhole.
5. Tên dự án: Drift Protocol (Số tiền bị đánh cắp: 285 triệu USD | Thời gian: Tháng 4 năm 2026)
Nguyên nhân bị đánh cắp: Một tổ chức hacker liên quan đến CHDCND Triều Tiên đã tiến hành xâm nhập có chủ đích kéo dài sáu tháng, kết hợp với trò lừa đảo ký trước (pre-sign) dựa trên cơ chế Solana Durable Nonce.
Từ mùa thu năm 2025, kẻ tấn công giả dạng công ty giao dịch lượng hóa, thiết lập mối quan hệ tin cậy ngoại tuyến với các nhà đóng góp Drift tại nhiều hội nghị mã hóa quốc tế và đầu tư hơn một triệu USD vào Ecosystem Vault nhằm xây dựng uy tín. Sau khi giành được lòng tin, chúng dụ các thành viên Hội đồng An ninh ký trước nhiều giao dịch trông có vẻ vô hại: lợi dụng cơ chế Durable Nonce của Solana để ẩn lệnh chuyển giao quyền quản lý trong đó. Đồng thời, Drift vừa hoàn tất việc chuyển đổi sang cơ chế đa chữ ký không độ trễ, loại bỏ hoàn toàn cửa sổ phát hiện và can thiệp sau sự kiện.
Sau khi giành quyền quản lý giao thức, kẻ tấn công đăng ký một token giả CVT chỉ có thanh khoản thực tế vài trăm USD, tự mua bán để tạo ảo ảnh giá, rồi gửi 500 triệu CVT làm tài sản thế chấp vào giao thức để vay 285 triệu USD USDC, SOL và ETH. Toàn bộ giai đoạn thực thi chỉ kéo dài 12 phút.
Đội an ninh SEAL 911 và ban điều hành Drift xác định tổ chức hacker liên quan đến CHDCND Triều Tiên với độ tin cậy “trung bình – cao”; người thực hiện không phải công dân Triều Tiên, mà là các trung gian bên thứ ba do chúng điều khiển để tiếp xúc ngoại tuyến.
6. Tên dự án: WazirX (Số tiền bị đánh cắp: 235 triệu USD | Thời gian: Tháng 7 năm 2024)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công lần này là ví đa chữ ký bị xâm nhập từng bước và cuối cùng bị thay thế bằng hợp đồng độc hại.
Kẻ tấn công đầu tiên chiếm được quyền hạn của một số người ký thông qua các phương thức như lừa đảo (phishing), bao gồm cả việc tấn công trực tiếp và dụ dỗ ký tên. Trên cơ sở đó, chúng tiếp tục đánh lừa các người ký khác thông qua giao diện giả mạo, khiến họ phê duyệt giao dịch độc hại mà không hề hay biết.
Sau khi thu thập đủ chữ ký, kẻ tấn công không chuyển tài sản ngay lập tức, mà lợi dụng cơ chế có thể nâng cấp của ví đa chữ ký để thực hiện một thao tác nâng cấp hợp đồng, thay thế hợp đồng triển khai gốc bằng hợp đồng độc hại do chúng triển khai.
Sau khi hợp đồng độc hại được thiết lập làm logic thực thi mới, mọi giao dịch tiếp theo đều bị chuyển hướng và tài sản liên tục chảy về địa chỉ của kẻ tấn công. Cuối cùng, quyền kiểm soát ví đa chữ ký bị hoàn toàn chiếm đoạt và tài sản trên chuỗi bị chuyển dần ra ngoài.
7. Tên dự án: Cetus (Số tiền bị đánh cắp: 223 triệu USD | Thời gian: Tháng 5 năm 2025)
Nguyên nhân bị đánh cắp: Cuộc tấn công này bắt nguồn từ lỗ hổng tràn số học (arithmetic overflow) trong quá trình tính toán thanh khoản của giao thức.
Cụ thể, hàm toán học mà Cetus sử dụng khi xử lý các số lớn có lỗi sai trong việc kiểm tra giới hạn. Khi một giá trị đạt đúng ngưỡng tới hạn, hệ thống không nhận ra nguy cơ tràn số sắp xảy ra và vẫn tiếp tục thực hiện phép tính, dẫn đến kết quả bị phóng đại bất thường.
Kẻ tấn công đã xây dựng một quy trình thao tác xoay quanh điểm yếu này: trước tiên tạo điều kiện giá cực đoan thông qua giao dịch khối lượng lớn, sau đó tạo vị thế thanh khoản trong một khoảng giá cụ thể với số lượng tài sản đầu tư cực nhỏ (cấp độ dust). Trong các điều kiện này, lỗ hổng tràn số trong hợp đồng bị kích hoạt, khiến hệ thống tính toán sai rằng kẻ tấn công xứng đáng nhận được phần chia thanh khoản lớn hơn rất nhiều so với thực tế đầu tư.
Sau đó, kẻ tấn công sử dụng phần chia thanh khoản bị phóng đại này để thực hiện thao tác rút thanh khoản, rút ra khỏi hồ thanh khoản số tài sản vượt xa số đã đầu tư. Quy trình này có thể lặp lại nhiều lần nhằm tiếp tục rút tài sản khỏi hồ, gây tổn thất quy mô lớn.
8. Tên dự án: Gala Games (Số tiền bị đánh cắp: 216 triệu USD | Thời gian: Tháng 5 năm 2024)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công lần này là khóa riêng của tài khoản đúc tiền có đặc quyền cao bị xâm phạm, dẫn đến thất bại trong kiểm soát truy cập.
Hợp đồng của Gala vốn đặt giới hạn đặc quyền đối với chức năng đúc tiền (mint), nhưng khóa riêng của một tài khoản có đặc quyền đúc tiền (minter account) đã bị kẻ tấn công chiếm đoạt. Tài khoản này lâu nay không được sử dụng, nhưng vẫn duy trì đầy đủ đặc quyền cao.
Sau khi giành quyền kiểm soát tài khoản, kẻ tấn công trực tiếp gọi hàm đúc tiền trong hợp đồng để đúc khoảng 5 tỷ token GALA và chuyển vào địa chỉ cá nhân. Tiếp đó, chúng chia nhỏ số token này để đổi lấy ETH trên thị trường nhằm thu lợi.
Toàn bộ quá trình không khai thác lỗ hổng hợp đồng thông minh, mà thực hiện hành vi độc hại thông qua đặc quyền hợp pháp.
9. Tên dự án: Mixin Network (Số tiền bị đánh cắp: 200 triệu USD | Thời gian: Tháng 9 năm 2023)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công lần này là Mixin lưu trữ khóa riêng trong một cơ sở dữ liệu đám mây tập trung.
Mixin Network tuyên bố được duy trì bởi 35 nút chính, hỗ trợ chuyển tiền chéo chuỗi trên 48 chuỗi công khai, nhưng khóa riêng của ví nóng và nhiều địa chỉ gửi tiền lại được lưu trữ theo “cách có thể khôi phục” trong cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây bên thứ ba. Vào rạng sáng ngày 23 tháng 9 năm 2023, kẻ tấn công đã xâm nhập cơ sở dữ liệu này và trích xuất hàng loạt khóa riêng.
Sau khi có khóa riêng, kẻ tấn công không cần giải mã bất kỳ logic hợp đồng nào, mà trực tiếp ký giao dịch dưới danh nghĩa hợp pháp. Ghi chép trên chuỗi cho thấy chúng đã lần lượt rút sạch tài sản từ các địa chỉ theo thứ tự giảm dần về số dư, với hơn 10.000 giao dịch diễn ra trong vài giờ, bao gồm khoảng 95,3 triệu USD ETH, 23,7 triệu USD BTC và 23,6 triệu USD USDT; trong đó USDT được nhanh chóng đổi sang DAI để tránh bị đóng băng.
10. Tên dự án: Euler Finance (Số tiền bị đánh cắp: 197 triệu USD | Thời gian: Tháng 3 năm 2023)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công lần này là logic tính toán tài sản và nợ nội bộ trong giao thức không nhất quán, và bị khai thác bởi khoản vay chớp nhoáng (flash loan).
Cụ thể, hàm DonateToReserve của Euler khi thực thi chỉ hủy token eToken đại diện cho tài sản thế chấp, nhưng không đồng bộ hủy token dToken đại diện cho nợ, dẫn đến mối quan hệ “thế chấp – nợ” trong hệ thống bị phá vỡ.
Trong tình huống này, giao thức sẽ nhầm tưởng rằng tài sản thế chấp giảm và cấu trúc nợ thay đổi, từ đó tạo ra trạng thái tài sản bất thường.
Kẻ tấn công đã xây dựng một quy trình thao tác hoàn chỉnh xoay quanh điểm yếu này: đầu tiên vay một lượng lớn tiền thông qua flash loan, sau đó gửi và vay trong giao thức, điều chỉnh liên tục mối quan hệ số lượng giữa eToken và dToken. Nhờ khai thác lỗ hổng logic nói trên, hệ thống liên tục tạo ra trạng thái tài sản/nợ sai lệch, giúp kẻ tấn công đạt được hạn mức vay vượt xa khả năng thế chấp thực tế.
Sau khi đạt được khả năng vay được phóng đại bất thường, kẻ tấn công tiếp tục rút tiền theo từng đợt và chuyển ra ngoài thông qua nhiều loại tài sản (DAI, USDC, stETH, wBTC). Toàn bộ quá trình được thực hiện trong một giao dịch duy nhất và được khuếch đại qua nhiều lần thao tác, gây tổn thất khoảng 197 triệu USD.
II. Mười dự án bị đánh cắp gần đây
1. Tên dự án: Hyperbridge (Số tiền bị đánh cắp: khoảng 2,5 triệu USD, tháng 4 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của sự việc là logic xác minh chứng minh (proof verification) trong Cổng Token (Token Gateway) có khuyết điểm.
Kẻ tấn công đã lợi dụng thiếu sót trong việc xác minh đầu vào của chứng minh MMR (Merkle Mountain Range), từ đó giả mạo một chứng minh chéo chuỗi vốn không thể vượt qua. Do hệ thống nhầm lẫn coi chứng minh vô hiệu này là hợp lệ, kẻ tấn công tiếp tục giành được quyền quản lý hợp đồng bridged DOT trên Ethereum, sau đó đúc khoảng 1 tỷ token bridged DOT giả và bán tháo trên Dex.
Đồng thời, cuộc tấn công cũng lan rộng tới các hồ DOT trên Ethereum, Base, BNB Chain và Arbitrum; sau đó, con số tổn thất ban đầu ước tính khoảng 237.000 USD đã được điều chỉnh lên khoảng 2,5 triệu USD.
2. Tên dự án: Venus Protocol (Số tiền bị đánh cắp: khoảng 3,7–5 triệu USD, tháng 3 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là việc kiểm tra giới hạn cung (supply cap) có thể bị bỏ qua, kết hợp với việc khai thác logic tính toán tỷ lệ chuyển đổi (exchange rate).
Cụ thể, Venus khi tính toán vốn thị trường trực tiếp đọc số dư thực tế trong hợp đồng thông qua balanceOf(); tuy nhiên, giới hạn supply cap chỉ được kiểm tra trong quy trình mint().
Kẻ tấn công thông qua việc gửi trực tiếp tài sản nền (ERC-20 transfer) vào hợp đồng vToken, từ đó bỏ qua quy trình mint() và né được kiểm tra supply cap.
Vì số tiền này được tính vào số dư hợp đồng, hệ thống khi tính exchange rate sẽ hiểu nhầm rằng tài sản trong hồ tăng lên, trong khi số lượng vToken tương ứng không tăng, dẫn đến tỷ lệ chuyển đổi bị đẩy lên bất thường.
Trong tình huống này, giá trị tài sản thế chấp ban đầu của kẻ tấn công bị phóng đại, từ đó đạt được khả năng vay vượt xa giá trị thực tế.
Sau đó, kẻ tấn công tận dụng giá trị thế chấp bị phóng đại để lặp đi lặp lại chu trình: vay → đẩy giá → vay tiếp, từ đó rút ra nhiều loại tài sản từ giao thức và gây tổn thất khoảng 5 triệu USD.
3. Tên dự án: Resolv Labs (Số tiền bị đánh cắp: khoảng 23–25 triệu USD, tháng 3 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là khóa riêng ký tên then chốt bị xâm phạm và hợp đồng trên chuỗi không áp dụng kiểm tra giới hạn đúc tiền.
Quy trình đúc USR của Resolv phụ thuộc vào một dịch vụ ngoài chuỗi: người dùng gửi yêu cầu trước, sau đó một hệ thống nắm giữ khóa riêng đặc quyền (SERVICE_ROLE) ký tên, và cuối cùng hợp đồng thực hiện đúc tiền.
Nhưng hợp đồng chỉ kiểm tra “chữ ký có hợp lệ hay không”, chứ không kiểm tra “số lượng đúc ra có hợp lý không”, cũng không có kiểm soát tỷ lệ thế chấp, oracle giá hay giới hạn đúc tối đa.
Kẻ tấn công đã xâm nhập hạ tầng đám mây của dự án và chiếm được khóa riêng ký tên này, từ đó có thể tự sinh chữ ký hợp lệ.
Sau khi có quyền ký tên, kẻ tấn công sử dụng một lượng nhỏ USDC (khoảng 100.000–200.000 USD) làm đầu vào, giả mạo tham số và trực tiếp đúc khoảng 80 triệu USR không có tài sản thế chấp hỗ trợ.
Sau đó, những USR không có thế chấp này được nhanh chóng đổi sang các stablecoin khác và cuối cùng đổi thành ETH, tài sản bị chuyển dần ra ngoài, đồng thời lượng cung tăng mạnh khiến giá USR nhanh chóng rời neo.
4. Tên dự án: Saga (Số tiền bị đánh cắp: khoảng 7 triệu USD, tháng 1 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là logic xác minh trong cầu nối EVM precompile có khuyết điểm.
SagaEVM sử dụng triển khai EVM dựa trên Ethermint, trong đó tồn tại một lỗ hổng chưa được phát hiện, ảnh hưởng đến logic xác minh giao dịch trong cầu nối chéo chuỗi.
Kẻ tấn công đã tạo ra giao dịch đặc biệt để bỏ qua các kiểm tra về “việc tài sản đã thực sự được gửi vào chưa” và “giới hạn cung stablecoin” trong quá trình cầu nối.
Khi việc xác minh bị bỏ qua, hệ thống sẽ xử lý những thông điệp giả mạo này như các thao tác chéo chuỗi hợp lệ và theo quy trình đúc số lượng stablecoin tương ứng. Do không có tài sản thế chấp thực tế, kẻ tấn công có thể đúc vô số stablecoin với chi phí bằng không và đổi lấy tài sản thực trong giao thức.
Cuối cùng, tài sản trong giao thức bị rút liên tục, stablecoin rời neo và khoảng 7 triệu USD tài sản bị chuyển ra ngoài.
5. Tên dự án: Solv (Số tiền bị đánh cắp: khoảng 2,5 triệu USD, tháng 3 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là hợp đồng BRO Vault tồn tại lỗ hổng đúc tiền kép (do tái nhập — reentrancy kích hoạt).
Cụ thể, khi hợp đồng nhận tài sản ERC-3525, nó sẽ gọi doSafeTransferIn, trong khi ERC-3525 dựa trên ERC-721, nên trong quá trình chuyển an toàn sẽ kích hoạt callback onERC721Received.
Trong quy trình này, hợp đồng thực hiện một lần đúc tiền trong luồng chính, đồng thời trong hàm callback lại kích hoạt thêm một lần đúc tiền nữa.
Vì callback xảy ra trước khi lần đúc tiền đầu tiên hoàn tất, kẻ tấn công có thể kích hoạt hai lần đúc tiền trong một lần gửi, tạo thành đường dẫn tái nhập điển hình. Bằng cách khai thác lặp lại lỗ hổng này, kẻ tấn công đã khuếch đại một lượng nhỏ tài sản thành số lượng lớn BRO, sau đó đổi lấy SolvBTC và chuyển ra ngoài.
6. Tên dự án: Aave (Ảnh hưởng gián tiếp, rủi ro nợ xấu khoảng 177–236 triệu USD, tháng 4 năm 2026)
Nguyên nhân bị đánh cắp: Lỗ hổng trực tiếp không nằm ở Aave, mà bắt nguồn từ sự thất bại của cơ chế xác minh cầu nối chéo chuỗi của Kelp DAO.
Kẻ tấn công gửi một thông điệp giả mạo tới cầu nối chéo chuỗi dựa trên LayerZero, khiến hệ thống phát hành và đúc khoảng 116.500 rsETH mà không thực sự gửi ETH. Những rsETH này không có tài sản thực tế hỗ trợ, nhưng lại được hệ thống coi là tài sản thế chấp bình thường.
Sau đó, kẻ tấn công gửi những rsETH không có thế chấp này vào Aave làm tài sản thế chấp và vay một lượng lớn tài sản thực (WETH). Do các thông số thiết lập trong Aave cho phép thế chấp và vay quy mô lớn, kẻ tấn công đã nhanh chóng hoàn tất việc vay và chuyển tiền ra ngoài.
Kết quả cuối cùng là: kẻ tấn công chuyển rủi ro sang Aave thông qua mô hình “tài sản thế chấp giả → vay tài sản thực”, tạo ra nợ xấu quy mô lớn.
7. Tên dự án: YieldBlox (Số tiền bị đánh cắp: khoảng 10,2 triệu USD, tháng 2 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là giá oracle có thể bị thao túng bởi một giao dịch duy nhất (thị trường thanh khoản thấp + cơ chế VWAP).
Trước khi xảy ra tấn công, cặp giao dịch USTRY/USDC gần như không có thanh khoản, và trong cửa sổ thời gian giá oracle không có giao dịch bình thường. Oracle Reflector mà YieldBlox sử dụng dựa trên VWAP (giá trung bình gia quyền theo khối lượng), trong trường hợp này, một giao dịch duy nhất có thể quyết định giá.
Kẻ tấn công đầu tiên đặt lệnh với giá cực đoan (khoảng 500 USDC / USTRY), sau đó dùng một tài khoản khác thực hiện giao dịch với khối lượng cực nhỏ (chỉ khoảng 0,05 USTRY), thành công đẩy giá oracle lên khoảng 106 USD.
Sau khi giá bị phóng đại, USTRY do kẻ tấn công nắm giữ được hệ thống coi là tài sản thế chấp có giá trị cao, từ đó đạt được hạn mức vay vượt xa giá trị thực tế. Sau đó, kẻ tấn công trực tiếp vay toàn bộ tài sản trong hồ (XLM và USDC) để rút tiền.
8. Tên dự án: Step Finance (Số tiền bị đánh cắp: khoảng 30–40 triệu USD, tháng 1 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là thiết bị của các thành viên cốt lõi dự án bị xâm nhập, dẫn đến thất thủ khóa riêng hoặc quy trình ký tên.
Kẻ tấn công xâm nhập thiết bị của lãnh đạo đội ngũ, từ đó giành quyền truy cập vào ví kiểm soát dự án. Việc truy cập này có thể bao gồm việc trực tiếp chiếm đoạt khóa riêng, hoặc cài đặt phần mềm độc hại can thiệp vào quy trình ký giao dịch, khiến quản lý phê duyệt giao dịch độc hại mà không hề hay biết.
Sau khi giành được quyền kiểm soát, kẻ tấn công thực hiện các thao tác trên nhiều ví Solana do dự án kiểm soát, bao gồm hủy bỏ thế chấp (unstake) tài sản và chuyển tiền ra ngoài. Toàn bộ quá trình không liên quan đến lỗ hổng hợp đồng thông minh, mà trực tiếp sử dụng quyền truy cập ví đã chiếm được để chuyển tiền.
Cuối cùng, tài sản dự án bị chuyển ra ngoài quy mô lớn, gây tổn thất khoảng 30 triệu USD và khiến giá token lao dốc mạnh.
9. Tên dự án: Truebit (Số tiền bị đánh cắp: khoảng 26 triệu USD, tháng 1 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là lỗ hổng tràn số nguyên trong hàm định giá mua TRU.
Trong quá trình tính toán giá khi gọi buyTRU(), có nhiều phép nhân và cộng số lớn, nhưng hợp đồng sử dụng phiên bản Solidity 0.6.10 để biên dịch, mặc định không kiểm tra tràn số.
Khi kẻ tấn công truyền một tham số lớn đặc biệt, giá trị trung gian bị tràn và quay vòng (wrap around), khiến giá mua tính toán cuối cùng bị ép xuống bất thường, thậm chí bằng 0.
Trong tình huống này, kẻ tấn công có thể mua một lượng lớn TRU với chi phí cực thấp hoặc bằng không.
Trong khi đó, logic bán (sellTRU()) của giao thức vẫn tính toán theo quy tắc bình thường, cho phép đổi theo tỷ lệ với dự trữ ETH trong hợp đồng.
Kẻ tấn công sau đó lặp đi lặp lại quy trình:
👉 Mua TRU với giá thấp hoặc bằng không → bán theo giá bình thường → rút ETH
Thông qua nhiều vòng thao tác, chúng liên tục rút tiền từ giao thức, gây tổn thất khoảng 26 triệu USD.
10. Tên dự án: Makina (Số tiền bị đánh cắp: khoảng 4,1 triệu USD, tháng 1 năm 2026)
Nguyên nhân bị đánh cắp: Trọng tâm của cuộc tấn công là việc phụ thuộc vào dữ liệu từ các hồ Curve bên ngoài để tính toán AUM / sharePrice mà thiếu kiểm tra, dẫn đến bị thao túng bởi flash loan.
Kẻ tấn công vay một khoản lớn thông qua flash loan, tạm thời bơm thanh khoản vào nhiều hồ Curve và thực hiện giao dịch nhằm thay đổi trạng thái hồ và kết quả tính toán liên quan (ví dụ: giá trị LP, kết quả tính toán withdraw…).
Dữ liệu bị thao túng này được giao thức trực tiếp sử dụng để tính toán AUM (quy mô quản lý tài sản), từ đó ảnh hưởng tiếp tới sharePrice.
Vì không có kiểm tra hiệu lực hoặc xử lý trọng số theo thời gian đối với dữ liệu bên ngoài, hệ thống coi những dữ liệu bất thường này là giá trị thực, dẫn đến:
- AUM bị đẩy lên mạnh
- sharePrice bị phóng đại bất thường
Sau khi sharePrice bị đẩy lên, kẻ tấn công tận dụng chênh lệch giá để thực hiện giao dịch chênh lệch, đổi tài sản trong hồ DUSD/USDC nhằm thu lợi.
III. Quy luật chung và bài học rút ra từ 20 vụ bị đánh cắp
Từ 20 vụ việc này, chúng ta thực sự có thể nhận ra một xu hướng ngày càng rõ ràng: đường đi để hacker đánh cắp tài sản khổng lồ về cơ bản chỉ có hai: lỗ hổng kỹ thuật và kỹ thuật xã hội.
1️⃣ Lỗ hổng kỹ thuật: Từ phân bố thời gian của các vụ lỗ hổng kỹ thuật, có thể thấy một lộ trình di chuyển rõ ràng.
Các lỗ hổng kỹ thuật giai đoạn đầu tập trung chủ yếu vào cầu nối chéo chuỗi — đây là cơ sở hạ tầng mở rộng nhanh nhất, mã mới nhất và kiểm toán yếu nhất trong DeFi giai đoạn đó. Nó nắm giữ lượng tài sản lớn, nhưng chưa trải qua đủ kiểm nghiệm đối kháng.
Sau đó, ngành công nghiệp bắt đầu chú trọng an toàn cầu nối chéo chuỗi, cơ chế xác minh được tăng cường phổ biến, các lỗ hổng kỹ thuật quy mô lớn ở cầu nối chéo chuỗi giảm rõ rệt. Nhưng lỗ hổng không biến mất, chỉ chuyển sang nơi khác — chuyển vào logic toán học bên trong giao thức DeFi, thiết kế oracle và sự phụ thuộc vào thư viện bên thứ ba.
- Cetus: Sai sót điều kiện giới hạn trong thư viện toán học,
- Truebit: Tràn số nguyên trong trình biên dịch phiên bản cũ,
- YieldBlox: Niềm tin thái quá của oracle đối với thị trường thanh khoản thấp.
Bản chất đằng sau tất cả chỉ có một: diện tấn công luôn đi theo tài sản, đi theo độ mới của mã nguồn và đi theo những vùng mù trong kiểm toán. Khi một loại cơ sở hạ tầng bị tấn công tập trung, ngành công nghiệp bắt đầu chú ý, phòng thủ được tăng cường, sau đó kẻ tấn công chuyển sang nơi tăng trưởng nhanh nhất và phòng thủ yếu nhất tiếp theo.
2️⃣ Kỹ thuật xã hội: Trong 20 vụ bị đánh cắp này, có 4 vụ đã được xác nhận hoặc xác định với độ tin cậy cao là do tổ chức hacker nhà nước Triều Tiên thực hiện — Ronin, WazirX, Bybit, Drift, với tổng tổn thất vượt quá 2,5 tỷ USD.
Theo dữ liệu từ Chainalysis, các tổ chức hacker liên quan đến Triều Tiên chỉ riêng trong năm 2025 đã đánh cắp hơn 2 tỷ USD tài sản mã hóa, chiếm gần 60% tổng giá trị bị đánh cắp toàn cầu trong năm đó. So với năm 2024, số lần tấn công của hacker Triều Tiên giảm 74%, nhưng giá trị trung bình mỗi lần tấn công tăng mạnh.
Phương thức tấn công của hacker Triều Tiên cũng liên tục nâng cấp: từ việc xâm nhập trực tiếp hệ thống nội bộ thời kỳ Ronin, tới tấn công chuỗi cung ứng tại Bybit, rồi tới thâm nhập ngoại tuyến kéo dài sáu tháng tại Drift — mỗi lần đều tìm ra cách mới ngoài các hàng rào phòng thủ hiện có.
Đáng lo ngại hơn nữa là hacker Triều Tiên còn cài cắm hàng loạt nhân viên nằm vùng giả dạng nhà phát triển trên toàn ngành mã hóa; một khi đã gia nhập công ty mục tiêu, những người này sẽ tìm hiểu cấu trúc hệ thống nội bộ, giành quyền truy cập kho mã nguồn và âm thầm cài cửa hậu vào mã sản xuất.
Phạm vi ảnh hưởng của các vụ bị đánh cắp đang mở rộng: Các vụ bị đánh cắp giai đoạn đầu chủ yếu ảnh hưởng đến chính giao thức đó, nhưng với mức độ kết hợp (composability) ngày càng sâu trong DeFi, ảnh hưởng cục bộ bắt đầu lan tỏa ra ngoài.
- Drift: Sau khi bị đánh cắp, ít nhất 20 giao thức phụ thuộc vào thanh khoản hoặc chiến lược của nó đã gặp gián đoạn, tạm dừng hoặc trực tiếp chịu tổn thất; Carrot Protocol có tới 50% TVL bị ảnh hưởng.
- Aave: Bản thân hợp đồng Aave hoàn toàn không có vấn đề, nhưng chỉ vì chấp nhận rsETH của Kelp DAO làm tài sản thế chấp, sự thất bại trong xác minh cầu nối bên ngoài đã trực tiếp chuyển thành rủi ro nợ xấu cho Aave.
Tất cả những quy luật này cuối cùng đều chỉ về một thực tế: Việc gửi tài sản vào một giao thức không chỉ đơn thuần là tin tưởng vào mã nguồn của giao thức đó. Bạn đồng thời cũng đang tin tưởng vào mọi tài sản bên ngoài mà giao thức phụ thuộc, mọi dịch vụ bên thứ ba và cả sự phán đoán cũng như an toàn trong thao tác của những người nắm giữ quyền quản lý.
Gần đây, tin tức về các vụ bị đánh cắp nối tiếp nhau không ngừng; Polymarket vừa ra mắt thị trường dự báo “Năm nay có dự án trong ngành tiền mã hóa bị đánh cắp trên 100 triệu USD hay không?” trong tháng này, nhưng chưa đầy một tháng thị trường đã thanh toán. Đây không phải ngẫu nhiên: Quy mô tài sản DeFi đang tăng, mức độ phụ thuộc giữa các giao thức đang sâu sắc hơn, nhưng năng lực bảo vệ tài sản lại chưa theo kịp tốc độ này.
Áp lực an ninh chưa giảm, trong khi các chiều kích đe dọa lại đang gia tăng. Tháng 4 năm 2026, Anthropic công bố bản xem trước Claude Mythos, trong đó phát hiện hàng nghìn lỗ hổng nghiêm trọng trong mọi hệ điều hành và trình duyệt phổ biến, và có thể chuyển đổi 72% lỗ hổng đã biết thành các đường dẫn tấn công khả thi.
Một khi khả năng này được áp dụng một cách hệ thống để quét hợp đồng thông minh, điều đó có nghĩa là các lỗ hổng trong ngành DeFi sẽ được phát hiện và khai thác với tốc độ chưa từng có. Đồng thời, các dự án cũng có thể chủ động sử dụng công cụ này để tự kiểm tra, sớm nhận diện và khắc phục các rủi ro tiềm ẩn, từ đó nâng cao hơn nữa năng lực phòng vệ an ninh của chính mình.
⏰ Đối với người dùng thông thường, những vụ việc này mang lại một số bài học trực tiếp:
- Không tập trung tài sản vào một giao thức duy nhất. Phân tán lưu trữ tuy không loại bỏ hoàn toàn rủi ro, nhưng có thể kiểm soát mức tổn thất tối đa trong mỗi lần.
- Giữ khoảng cách với các giao thức mới. Phần lớn lỗ hổng kỹ thuật đều được phát hiện trong giai đoạn đầu sau khi giao thức ra mắt. Một giao thức đã vận hành hai năm, trải qua nhiều vòng kiểm toán và kiểm nghiệm áp lực thực tế sẽ an toàn hơn nhiều so với một giao thức vừa ra mắt đã đưa ra lợi suất cao.
- Xem xét liệu giao thức có thực sự đang sinh lời hay không. Một giao thức có khả năng kiếm tiền mới có năng lực bồi thường thực tế khi xảy ra tổn thất. Các giao thức chỉ duy trì bằng phần thưởng token, bản thân không có doanh thu thực tế, khi gặp sự cố thường chỉ có thể đưa ra phương án bồi thường bằng cách phát token mới hoặc vẽ bánh.
Một cơ sở hạ tầng tài chính thực sự trưởng thành sẽ không để an ninh luôn đứng sau các chỉ số tăng trưởng. Trước khi ngày đó đến, những tin tức về các vụ bị đánh cắp sẽ không bao giờ dừng lại.
Cảnh báo rủi ro: Toàn bộ nội dung bài viết này chỉ mang tính tham khảo thông tin, không cấu thành bất kỳ khuyến nghị đầu tư nào. Thị trường tài sản mã hóa biến động mạnh, hợp đồng thông minh tồn tại rủi ro vốn có; vui lòng đưa ra quyết định độc lập sau khi đã hiểu rõ đầy đủ các rủi ro.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@BiteyeCN
