Beosin: Tháng 5 ghi nhận 36 sự cố bảo mật chính, tổng thiệt hại vượt quá 76 triệu USD
Tuyển chọn TechFlowTuyển chọn TechFlow
Beosin: Tháng 5 ghi nhận 36 sự cố bảo mật chính, tổng thiệt hại vượt quá 76 triệu USD
Xu hướng sâu sắc nhất về bảo mật Web3 vào năm 2026 là sự mở rộng hệ thống diện tích bề mặt bị tấn công.
Chuyên sâu báo cáo Web3Tác giả: Beosin
Theo dữ liệu giám sát từ nền tảng Beosin Alert, trong tháng 5 năm 2026, tổng thiệt hại do các sự cố an ninh gây ra đạt khoảng 76,15 triệu USD; đã xảy ra tổng cộng «36» vụ tấn công mạng nghiêm trọng, chủ yếu do lỗ hổng hợp đồng và rò rỉ khóa riêng. Trong đó, có 17 sự cố liên quan đến lỗ hổng hợp đồng/mạng lưới và 10 sự cố do rò rỉ khóa riêng, cho thấy mức độ thách thức nghiêm trọng đối với cả an ninh mã nguồn và an ninh vận hành trong hệ sinh thái DeFi.
Top 10 giao thức chịu tổn thất lớn nhất tháng 5
Cầu chéo chuỗi Verus-Ethereum Bridge — kết nối chuỗi L1 Verus và Ethereum — bị tấn công do lỗ hổng hợp đồng, gây tổn thất lớn nhất với 11,58 triệu USD. Echo Protocol bị tấn công do rò rỉ khóa riêng, khiến tin tặc đúc 1.000 token eBTC (giá trị danh nghĩa khoảng 76,7 triệu USD); tuy nhiên do thanh khoản hạn chế, số tiền thực tế thu được chỉ vào khoảng 5,13 triệu USD.
Phân loại dự án bị tấn công và tổn thất theo từng chuỗi
Các mục tiêu bị tấn công bao gồm cầu chéo chuỗi, sàn giao dịch phi tập trung (DEX), giao thức cho vay, thị trường dự đoán, stablecoin và người dùng thông thường. Trong đó, cầu chéo chuỗi chịu tổn thất cao nhất — lên tới 27,995 triệu USD; các dự án liên quan đến DeFi bị tấn công nhiều nhất — tổng cộng 14 lần.
Chuỗi chịu tổn thất lớn nhất tháng 5 là Ethereum, với thiệt hại vượt quá 48,76 triệu USD; phần lớn các sự cố an ninh liên quan đến cầu chéo chuỗi và đa số giao thức DeFi vẫn tập trung chủ yếu trên Ethereum. Tiếp theo là BNB Chain, Monad và TON; ngoài ra cũng ghi nhận một số sự cố an ninh trên Monero và Bitcoin, cho thấy xu hướng tấn công đa chuỗi ngày càng rõ nét.
Phân tích các sự cố an ninh nổi bật
1. Verus: Lỗi xác minh thông điệp chéo chuỗi
Cầu chéo chuỗi Verus-Ethereum Bridge hoạt động bằng cách bên gửi cung cấp dữ liệu chứng minh rằng tồn tại một đầu ra hợp lệ đã được xác thực trên chuỗi Verus; sau khi hợp đồng cầu xác minh thành công, tài sản sẽ được phát hành trên Ethereum. Lỗ hổng nằm ở chỗ hợp đồng cầu phía Ethereum tuy xác minh dữ liệu chứng minh đến từ chuỗi Verus, nhưng lại không kiểm tra xem dữ liệu này có phải là đầu ra gốc hợp lệ hay không — điều này cho phép tin tặc dựng đầu ra giả để vượt qua xác minh và rút ra số tiền vượt xa khoản ký quỹ của mình.
Đoạn mã chứa lỗ hổng:
Lỗ hổng trong sự cố lần này thuộc cùng loại với các lỗ hổng từng gây ra thiệt hại 320 triệu USD cho Wormhole và 190 triệu USD cho Nomad vào năm 2022 — đều là trường hợp bộ cầu xác minh tính hợp lệ của thông điệp, nhưng không xác minh giá trị tài chính đằng sau thông điệp đó.
2. Trusted Volumes: Lỗi tham số chữ ký
Tin tặc đã khai thác lỗ hổng thiết kế chữ ký trong quy trình báo giá theo yêu cầu (RFQ) của TrustedVolumes: khi thực hiện chuyển khoản, họ tùy chỉnh dữ liệu chữ ký để thiết lập địa chỉ người gửi là hợp đồng Resolver của TrustedVolumes và dễ dàng vượt qua kiểm tra xác thực, từ đó rút tài sản khỏi hợp đồng Resolver nhằm chiếm lợi.
Đoạn mã chứa lỗ hổng:
Kiểm tra quyền ủy nhiệm sử dụng tham số varg4, trong khi việc thực thi chuyển tiền lại dựa vào các tham số khác — thiếu bước kiểm tra dẫn đến sự không khớp giữa địa chỉ người ký ủy nhiệm và địa chỉ thực tế bị trừ tiền.
Do đó, tin tặc chỉ cần sử dụng địa chỉ người ký đã đăng ký để ký một đơn đặt hàng, trong đó maker = Exploit (được xác thực bởi chữ ký), còn các tham số chữ ký khác (token, số lượng) có thể đặt bất kỳ giá trị nào — ví dụ như một đơn đặt hàng giả tỷ lệ 1:1 để vượt qua kiểm tra giá hợp lý từ oracle giá — rồi tiến hành rút tài sản khỏi hợp đồng giao thức:
3. Sự cố rò rỉ khóa riêng điển hình: StablR
Tháng 5 ghi nhận nhiều sự cố rò rỉ khóa riêng, với tổng thiệt hại vượt quá 25 triệu USD. Trong đó, StablR — nhà phát hành stablecoin tuân thủ quy định — trở thành bài học điển hình về quản trị an ninh trong lĩnh vực stablecoin và DeFi.
StablR phát hành hai sản phẩm stablecoin tuân thủ: EURR và USDR. Ví đa chữ ký kiểm soát việc đúc EURR là 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; còn ví đa chữ ký kiểm soát việc đúc USDR là 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.
Do cả hai ví đa chữ ký trên chỉ yêu cầu 1 chữ ký để khởi tạo giao dịch, tin tặc đã kiểm soát địa chỉ owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d và thêm địa chỉ 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 vào cả hai ví đa chữ ký nói trên — từ đó giành quyền kiểm soát toàn bộ chức năng đúc tiền của dự án:
Sự cố này không bắt nguồn từ lỗ hổng mã nguồn, mà xuất phát từ vấn đề an ninh vận hành của đội ngũ dự án: không bảo quản tốt khóa riêng của các địa chỉ đặc quyền; không áp dụng cơ chế đa chữ ký ngưỡng cao cho các thao tác có giá trị cao/nguy cơ cao; không triển khai khóa thời gian (timelock) cho các giao dịch đúc tiền quy mô lớn; thiếu cơ chế phản ứng khẩn cấp hiệu quả.
Xu hướng đe dọa an ninh Web3
Xu hướng sâu sắc nhất về an ninh Web3 trong năm 2026 là sự mở rộng hệ thống diện tấn công. Các lỗ hổng đang đồng thời xuất hiện trên nhiều mặt: mã nguồn, hạ tầng, tương tác vận hành và quy trình con người. Chỉ dựa vào vài đợt kiểm toán an ninh hoặc công cụ hỗ trợ là không đủ để bao phủ các lĩnh vực như an ninh vận hành, thiết bị nhân viên, hạ tầng đám mây và chuỗi cung ứng phần mềm. Điều này đặt ra yêu cầu cao hơn đối với năng lực đảm bảo an ninh vận hành liên tục của các dự án Web3.
Ngoài ra, các cuộc tấn công nhắm vào các hợp đồng cũ/lỗi thời ngày càng gia tăng, trong đó các lỗ hổng hoặc cơ chế ủy quyền thường dễ bị tin tặc khai thác. Các nhà phát triển và vận hành hợp đồng nên rà soát lại tính an toàn của các hợp đồng đã triển khai trước đây; đối với các hợp đồng đã ngừng sử dụng, cần xử lý kịp thời hoặc chuyển giao an toàn số dư còn lưu trong hợp đồng, đồng thời liên hệ người dùng để hủy bỏ các quyền ủy nhiệm không còn cần thiết. Người dùng cũng nên thường xuyên sử dụng trình khám phá blockchain hoặc công cụ hủy ủy nhiệm để kiểm tra và hủy bỏ các quyền ủy nhiệm đã không còn sử dụng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@Beosin_com
