Tiêu đề gốc: "Đánh giá về 20 sự cố bị đánh cắp: Tại sao vòng tròn tiền tệ luôn bị đánh cắp? 》
Tác giả gốc: Changan, Biteye

Vào tháng 4 năm 2026, 292 triệu đô la Mỹ đã bị đánh cắp từ Kelp DAO. Kẻ tấn công đã sử dụng mã thông báo không có bảo đảm để vay tài sản thực trên Aave, gây ra khoản nợ khó đòi hơn 200 triệu đô la Mỹ trong vòng 46 phút.

Điều này Chỉ là một trong nhiều vụ đánh cắp trong năm nay. Drift đã bị đánh cắp với số tiền 285 triệu đô la Mỹ, Step Finance bị đánh cắp khoảng 30 triệu đô la Mỹ, và Resolv Labs bị đánh cắp với số tiền khoảng 23 triệu đô la Mỹ.

Dựa trên 20 trường hợp chúng tôi tổng hợp, có thể thấy ba mô hình rõ ràng:

·Các trường hợp có lỗ hổng kỹ thuật chiếm đa số, nhưng tổn thất riêng lẻ tương đối hạn chế; bốn sự cố gây thiệt hại lớn nhất.

· Chiến trường của các lỗ hổng kỹ thuật đang di chuyển và các cầu xuyên chuỗi chưa bao giờ an toàn hơn

1. 10 dự án có số tiền bị đánh cắp lớn nhất

1.

Tổ chức hacker Triều Tiên Lazarus Group (FBI và ZachXBT phân bổ độ tin cậy cao, có tên mã là hoạt động "TraderTraitor") phá vỡ cơ chế đa chữ ký của Ví an toàn thông qua việc chiếm quyền điều khiển giao diện người dùng giao diện người dùng + gian lận đa chữ ký

Kẻ tấn công lần đầu tiên xâm nhập vào thiết bị của nhà phát triển lõi Bybit và tiêm mã JavaScript độc hại vào giao diện người dùng ví Khi người giữ nhiều chữ ký (6 người ký) thực hiện chuyển khoản ví lạnh thông thường, giao diện người dùng. hiển thị địa chỉ và số tiền nhận thông thường, nhưng Dữ liệu cuộc gọi cơ bản bị giả mạo, chuyển hướng 401.000 ETH đến địa chỉ của kẻ tấn công. Dưới sự lừa dối "những gì bạn thấy không phải là những gì bạn nhận được", 3/6 người ký đã chấp thuận giao dịch và số tiền bị mất ngay lập tức

Vấn đề cơ bản:Đa chữ ký dựa vào lớp tương tác giữa con người và máy tính và giao diện người dùng không được xác minh độc lập, dẫn đến lỗi bảo mật toán học; USDT có liên quan trong vòng vài giờ, trong khi Circle đóng băng USDC với độ trễ 24 giờ, làm trầm trọng thêm tổn thất. Sự cố này cho thấy mối đe dọa chết người của các cuộc tấn công kỹ thuật xã hội + giao diện người dùng đối với các nền tảng giao dịch tập trung và sinh ra các mạng xác minh giao dịch như Safenet

Sự cố này rất giống với mô hình Drift Protocol (tháng 4 năm 2026, trị giá 285 triệu đô la): chỉ đạo kỹ thuật xã hội để thiết lập niềm tin, tiếp theo là giao diện người dùng/chữ ký, đánh dấu sự chuyển đổi của hacker từ các lỗ hổng hợp đồng sang "điểm yếu của con người-máy."

Trong quá trình tiếp theo, Bybit đã nhanh chóng sử dụng số tiền của mình để bù đắp hoàn toàn mọi tổn thất, đảm bảo rằng người dùng không bị tổn thất và hoạt động nền tảng hiện tại ổn định

2. Tên dự án: Ronin Network (Số tiền bị đánh cắp: 624 triệu USD | Thời gian: Tháng 3 năm 2022)

Lý do trộm cắp:

Nhóm hacker Triều Tiên Lazarus Nhóm đã kiểm soát thành công toàn bộ khóa riêng của các nút xác minh thông qua các phương tiện kỹ thuật xã hội và cửa hậu.

Kẻ tấn công đã xâm chiếm hệ thống nội bộ của Sky Mavis và sử dụng cửa sau trong nút RPC không cần gas để kiểm soát 5 trong số 9 nút xác minh (bao gồm 4 nút Sky Mavis và 1 nút Axie DAO). Nguyên nhân của sự cố này là do sức mạnh xác minh trong thiết kế cầu nối chuỗi tập trung cao độ ở một số nút. Ngưỡng yêu cầu 5 chữ ký trong số 9 nút để hoàn thành hoạt động gần như vô dụng khi đối mặt với các cuộc tấn công kỹ thuật xã hội có chủ đích

3. hành vi trộm cắp của Poly Network là có những lỗ hổng nghiêm trọng trong thiết kế quản lý quyền của hợp đồng chuỗi chéo.

Kẻ tấn công đã lợi dụng mối quan hệ giữa hai hợp đồng đặc quyền cao EthCrossChainManager và EthCrossChainData để giả mạo lệnh gọi hàm thực thi

Vì bản thân EthCrossChainManager có quyền sửa đổi khóa công khai Keeper và tham số _method được người dùng sử dụng khi gọi có thể được tùy chỉnh nên kẻ tấn công đã gọi thành công. hàm putCurEpochConPubKeyBytes, ban đầu chỉ có thể được thực thi bởi các đặc quyền cao, bằng cách xây dựng xung đột băm

Bằng cách này, kẻ tấn công thay thế khóa công khai của chính mình bằng khóa chung của người quản lý hợp pháp, giành quyền kiểm soát tài sản chuỗi chéo và cuối cùng chuyển tiền trên nhiều chuỗi.

4.

Lý do trộm cắp:

Trong trường hợp thông thường, nếu người dùng muốn chuyển tài sản từ chuỗi này sang chuỗi khác, trước tiên hệ thống phải xác nhận rằng tài sản đó thực sự đã được gửi và chữ ký liên quan thực sự đúng và hợp lệ. Chức năng không an toàn để kiểm tra xem giao dịch có hợp pháp hay không.

Kẻ tấn công đã lợi dụng lỗ hổng này và giả mạo một bộ thông tin dường như đã được "xác minh", khiến hệ thống nhầm tưởng rằng hoạt động xuyên chuỗi là có thật và hiệu quả. liên kết xác minh đã bị bỏ qua, hệ thống trực tiếp tin rằng chứng chỉ giả do kẻ tấn công gửi

Kết quả là kẻ tấn công đã tự ý đào một lượng lớn wETH mà không thực sự gửi đủ tài sản. Sau khi những tài sản này được tạo ra, chúng tiếp tục được chuyển ra ngoài và trao đổi, cuối cùng khiến Wormhole mất khoảng 326 triệu đô la Mỹ. Tên dự án: Drift Protocol (Số tiền bị đánh cắp: 285 triệu USD | Thời gian: Tháng 4 năm 2026).

Lý do trộm cắp:

Tổ chức hacker DPRK đã dành sáu tháng để xâm nhập có chủ đích, kết hợp với trò lừa đảo ký trước Solana Bền Nonce để hoàn thành cuộc tấn công

Kể từ mùa thu năm 2025, những kẻ tấn công đã cải trang thành các công ty thương mại định lượng, thiết lập mối quan hệ tin cậy ngoại tuyến với những người đóng góp cho Drift tại nhiều hội nghị mã hóa quốc tế và đầu tư hơn một triệu đô la Mỹ vào Ecosystem Vault để tích lũy uy tín. Kẻ tấn công đã xúi giục các thành viên Hội đồng Bảo mật ký trước nhiều giao dịch dường như vô hại: sử dụng cơ chế Bền vững của Solana để ẩn các hướng dẫn chuyển giao quyền quản lý. Đồng thời, Drift vừa hoàn thành quá trình di chuyển sang đa chữ ký có độ trễ bằng 0, loại bỏ cơ hội phát hiện và can thiệp sau sự kiện

Sau khi có được quyền quản lý của giao thức, kẻ tấn công đã đăng ký mã thông báo CVT giả chỉ với vài trăm đô la thanh khoản thực, tạo ảo giác về giá thông qua việc tự mua và bán, sau đó gửi tiền. 500 triệu CVT vào giao thức làm tài sản thế chấp, cho vay USDC, SOL và ETH trị giá 285 triệu USD. Toàn bộ giai đoạn thực hiện chỉ kéo dài 12 phút.

Các quan chức của Drift và nhóm bảo mật SEAL 911 cho rằng cuộc tấn công là do tổ chức liên kết với DPRK (một tổ chức hacker được nhà nước Triều Tiên hỗ trợ) với "độ tin cậy trung bình và cao".

6. Tên dự án: WazirX (Số tiền bị đánh cắp: 235 triệu USD | Thời gian: Tháng 7 năm 2024)

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này là ví đa chữ ký dần dần bị xâm phạm và cuối cùng được thay thế bằng một hợp đồng độc hại

Kẻ tấn công trước tiên có được quyền của một số người ký thông qua lừa đảo và các phương pháp khác (bao gồm cả việc trực tiếp phá vỡ và xúi giục). Trên cơ sở này, những người ký khác đã bị đánh lừa thông qua các giao diện giả mạo, khiến họ phê duyệt các giao dịch độc hại mà họ không hề hay biết.

Sau khi thu thập đủ chữ ký, kẻ tấn công đã không trực tiếp chuyển giao tài sản. Thay vào đó, hắn sử dụng cơ chế có thể nâng cấp của ví đa chữ ký để thực hiện hoạt động nâng cấp hợp đồng, thay thế hợp đồng thực hiện ban đầu bằng hợp đồng độc hại mà hắn đã triển khai.

Sau khi hợp đồng độc hại được đặt thành logic thực thi mới, tất cả các giao dịch tiếp theo sẽ được chuyển hướng. sẽ tiếp tục chảy đến địa chỉ của kẻ tấn công. Cuối cùng, quyền kiểm soát ví đa chữ ký đã hoàn toàn bị chiếm đoạt và tài sản trên chuỗi dần dần bị chuyển ra ngoài

7. Tên dự án: Cetus (Số tiền bị đánh cắp: 223 triệu USD | Thời gian: Tháng 5 năm 2025)

Lý do trộm cắp:

Cuộc tấn công này xuất phát từ lỗ hổng tràn số học trong tính toán thanh khoản của giao thức.

Cụ thể, các hàm toán học được Cetus sử dụng khi xử lý các phép tính số lượng lớn có lỗi phán đoán biên. Khi một giá trị nhất định vừa đạt đến giá trị tới hạn, hệ thống không xác định chính xác mức tràn sắp xảy ra và tiếp tục thực hiện các phép tính, dẫn đến kết quả khuếch đại bất thường.

Kẻ tấn công đã xây dựng một bộ quy trình vận hành xung quanh vấn đề này:

Đầu tiên, tạo ra các điều kiện giá cực đoan thông qua các giao dịch lớn, sau đó tạo các vị thế thanh khoản trong một phạm vi cụ thể và chỉ đầu tư một lượng rất nhỏ. tài sản (mức bụi). Trong các điều kiện này, sự cố tràn trong hợp đồng đã được kích hoạt, khiến hệ thống tính toán rằng kẻ tấn công sẽ nhận được phần thanh khoản vượt xa mức đầu vào thực tế

Sau đó, kẻ tấn công đã sử dụng các cổ phiếu được khuếch đại này để thực hiện các hoạt động loại bỏ thanh khoản, rút tài sản khỏi nhóm quỹ cao hơn nhiều so với số tiền đầu tư. Toàn bộ quá trình có thể được lặp lại, liên tục rút tiền khỏi nhóm và cuối cùng gây ra tổn thất lớn

8. 216 triệu USD | Thời gian: Tháng 5 năm 2024)

Lý do trộm:

Cốt lõi của cuộc tấn công này là khóa riêng của tài khoản đúc tiền đặc quyền cao đã bị xâm phạm và việc kiểm soát truy cập không thành công

Bản thân hợp đồng của Gala có các hạn chế về quyền đối với chức năng đúc tiền, nhưng kẻ tấn công đã lấy được khóa riêng của một trong những tài khoản có quyền đúc tiền (tài khoản minter). trong một thời gian dài, nhưng vẫn giữ được đầy đủ các quyền cao.

Sau khi giành được quyền kiểm soát tài khoản, kẻ tấn công đã trực tiếp gọi đến chức năng khai thác của hợp đồng, đúc khoảng 5 tỷ mã thông báo GALA và chuyển chúng đến một địa chỉ cá nhân. Sau đó, kẻ tấn công trao đổi các mã thông báo này lấy ETH theo đợt trên thị trường để rút tiền

Tên dự án: Mixin Network. (Số tiền bị đánh cắp: 200 triệu USD | Thời gian: Tháng 9 năm 2023)

Lý do trộm:

Cốt lõi của cuộc tấn công này là Mixin lưu trữ khóa riêng trong cơ sở dữ liệu đám mây được quản lý tập trung

Mixin Network tuyên bố sẽ được duy trì chung bởi 35 nút mạng chính và hỗ trợ chuyển giao chuỗi chéo của 48 chuỗi công khai. được lưu trữ theo cách "có thể phục hồi" trong cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây bên thứ ba. Vào sáng sớm ngày 23 tháng 9 năm 2023, kẻ tấn công đã xâm chiếm cơ sở dữ liệu và trích xuất các khóa riêng tư này theo đợt

Sau khi lấy được khóa riêng, kẻ tấn công không cần phải bẻ khóa bất kỳ logic hợp đồng nào và có thể trực tiếp ký bằng danh tính hợp pháp để bắt đầu chuyển tiền. giao dịch, kéo dài vài giờ. Tài sản chính bao gồm khoảng 95,3 triệu đô la ETH, 23,7 triệu đô la BTC và 23,6 triệu đô la USDT, trong đó USDT nhanh chóng được chuyển đổi thành DAI để tránh bị đóng băng

10. Cốt lõi của cuộc tấn công này là sự không nhất quán trong logic tính toán tài sản và trách nhiệm nội bộ của giao thức, được khuếch đại và khai thác bởi các khoản vay flash.

Cụ thể, khi chức năng DonateToReserve của Euler được thực thi, nó chỉ phá hủy eToken đại diện cho tài sản thế chấp chứ không đồng thời phá hủy dToken đại diện cho khoản nợ, khiến mối quan hệ tương ứng giữa "thế chấp" và "trách nhiệm pháp lý" trong hệ thống bị phá vỡ. giao thức sẽ nhầm tưởng rằng tài sản thế chấp đã giảm và cơ cấu nợ đã thay đổi, dẫn đến trạng thái tài sản bất thường.

Kẻ tấn công đã xây dựng một bộ quy trình hoạt động hoàn chỉnh xung quanh điểm này:

Đầu tiên hãy vay một số tiền lớn thông qua các khoản vay nhanh, thực hiện các hoạt động gửi tiền và cho vay trong giao thức và liên tục điều chỉnh mối quan hệ định lượng giữa eToken và dToken.

Sau khi có được khả năng cho vay được khuếch đại bất thường, kẻ tấn công sau đó đã rút tiền theo đợt và hoàn tất việc chuyển tiền thông qua nhiều loại tài sản (DAI, USDC, stETH, wBTC). Toàn bộ quá trình được hoàn thành trong một giao dịch duy nhất và lợi nhuận được khuếch đại thông qua nhiều hoạt động, dẫn đến thiệt hại khoảng 197 triệu USD

2. (Số tiền bị đánh cắp: khoảng 2,5 triệu đô la Mỹ, tháng 4 năm 2026)

Lý do trộm cắp:

Cốt lõi của sự cố này là lỗ hổng trong logic xác minh bằng chứng của Token Gateway

Kẻ tấn công đã lợi dụng việc thiếu xác minh đầu vào trong xác minh bằng chứng MMR (Merkle Mountain Range) để giả mạo chứng chỉ chuỗi chéo đáng lẽ không được thông qua vì hệ thống đã coi nhầm chứng chỉ không hợp lệ này là chứng chỉ hợp lệ. chứng chỉ, kẻ tấn công tiếp tục giành được quyền quản lý hợp đồng DOT bắc cầu trên Ethereum, sau đó đúc khoảng 1 tỷ DOT bắc cầu giả mạo và bán chúng trên Dex.

Đồng thời, cuộc tấn công cũng ảnh hưởng đến các nhóm DOT trên Ethereum, Base, BNB Chain và các quan chức Arbitrum sau đó đã điều chỉnh khoản lỗ ước tính ban đầu khoảng 237.000 USD lên khoảng 2,5 triệu USD

2. (Số tiền bị đánh cắp: khoảng 3,7 triệu USD đến 5 triệu USD, tháng 3 năm 2026)

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này là việc xác minh giới hạn nguồn cung có thể bị bỏ qua và logic tính toán của tỷ giá hối đoái chồng chất (tỷ giá hối đoái) bị lợi dụng

Đặc biệt, khi Venus tính toán quỹ thị trường, nó trực tiếp sử dụng BalanceOf() để đọc số dư thực trong hợp đồng; giới hạn giới hạn cung cấp chỉ được kiểm tra trong quy trình mint().

Kẻ tấn công đã vượt qua mint() bằng cách chuyển trực tiếp tài sản cơ bản (chuyển ERC-20) sang hợp đồng vToken, do đó tránh được việc xác minh giới hạn nguồn cung

Vì số tiền này được tính vào số dư hợp đồng nên hệ thống coi tài sản nhóm đã tăng lên khi tính tỷ giá hối đoái, nhưng số lượng vToken tương ứng không tăng, khiến tỷ giá hối đoái tăng cao bất thường. giá trị tài sản thế chấp ban đầu trong tay kẻ tấn công được khuếch đại, do đó có được khả năng vay cao hơn nhiều so với số tiền thực tế.

Sau đó, kẻ tấn công sử dụng giá trị thế chấp được khuếch đại để liên tục thực hiện chu kỳ cho vay → tăng giá → cho vay lại, trích xuất nhiều tài sản khỏi giao thức, cuối cùng gây ra khoản lỗ khoảng 5 triệu USD

3. triệu đô la Mỹ, tháng 3 năm 2026)

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này là khóa riêng chữ ký của khóa đã bị xâm phạm và hợp đồng trên chuỗi không có xác minh giới hạn trên để đúc

Quy trình đúc USR của Resolv dựa trên một dịch vụ ngoài chuỗi: trước tiên người dùng gửi yêu cầu, sau đó yêu cầu này được hệ thống giữ khóa riêng đặc quyền ký. (SERVICE_ROLE), và cuối cùng hợp đồng thực hiện việc đúc tiền

Nhưng bản thân hợp đồng chỉ kiểm tra "liệu chữ ký có hợp lệ hay không" và không xác minh "liệu số lượng đúc có hợp lý hay không". Không có tỷ lệ thế chấp, lời tiên đoán về giá hoặc giới hạn đúc tiền tối đa

Kẻ tấn công đã xâm chiếm cơ sở hạ tầng đám mây của dự án và lấy được khóa riêng chữ ký, để hắn có thể tự tạo chữ ký hợp pháp

Sau khi có được quyền ký. Kẻ tấn công đã sử dụng một lượng nhỏ USDC (khoảng 100.000-200.000 USD) làm đầu vào, giả mạo các thông số và trực tiếp đúc khoảng 80 triệu USR mà không cần hỗ trợ thế chấp

Sau đó, các USR không được thế chấp này nhanh chóng được đổi lấy các stablecoin khác và cuối cùng thành ETH, đồng thời, một lượng lớn nguồn cung mới khiến giá USR nhanh chóng mất ổn định.

4. Tên dự án: Saga (Số tiền bị đánh cắp: khoảng 7 triệu USD, tháng 1 năm 2026)

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này nằm ở lỗ hổng trong logic xác minh của cầu biên dịch trước EVM

SagaEVM sử dụng triển khai EVM dựa trên Ethermint và có những lỗ hổng chưa được phát hiện trong mã ảnh hưởng đến logic xác minh. của cầu nối chuỗi chéo.

Bằng cách xây dựng các giao dịch cụ thể, kẻ tấn công đã bỏ qua việc xác minh "liệu tài sản thế chấp đã được gửi hay chưa" và "giới hạn cung cấp stablecoin" trong quá trình bắc cầu

Khi bỏ qua việc xác minh, hệ thống sẽ coi các thông báo giả mạo này là hoạt động xuyên chuỗi hợp pháp và đúc số lượng tiền ổn định tương ứng theo quy trình. trong giao thức

Cuối cùng, số tiền của giao thức liên tục bị rút, stablecoin đã bị hủy bỏ và khoảng 7 triệu đô la Mỹ tài sản đã được chuyển ra ngoài

5. /strong>

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này là hợp đồng BRO Vault có lỗ hổng khai thác kép (được kích hoạt bởi reentrancy).

Cụ thể, khi hợp đồng nhận được nội dung ERC-3525, nó sẽ gọi doSafeTransferIn và ERC-3525 dựa trên ERC-721 và sẽ kích hoạt lệnh gọi lại onERC721Received trong quá trình chuyển giao an toàn.

Trong quy trình này, hợp đồng thực hiện một hoạt động đúc trong quy trình chính và kích hoạt một hoạt động đúc khác trong hàm gọi lại.

Vì lệnh gọi lại xảy ra trước khi quá trình đúc tiền đầu tiên hoàn tất nên kẻ tấn công có thể kích hoạt hai lần đúc tiền trong một hoạt động gửi tiền, tạo thành một đường dẫn truy cập lại điển hình. Bằng cách liên tục khai thác lỗ hổng, kẻ tấn công đã khuếch đại một lượng nhỏ tài sản thành một lượng lớn BRO, sau đó đổi lấy SolvBTC và chuyển ra ngoài.

6. Tên dự án: Aave (bị ảnh hưởng gián tiếp, rủi ro nợ xấu khoảng 177 triệu đến 236 triệu đô la Mỹ, tháng 4 năm 2026)

Lý do trộm cắp:

Lỗ hổng trực tiếp trong vụ việc này không phải ở Aave mà là do cơ chế xác minh cầu nối xuyên chuỗi của Kelp DAO thất bại.

Kẻ tấn công đã gửi một tin nhắn giả mạo đến cầu nối chuỗi chéo dựa trên LayerZero, khiến hệ thống phát hành nhầm và đúc khoảng 116.500 rsETH mà không thực sự gửi ETH. Những rsETH này không được hỗ trợ bởi tài sản thực mà được sử dụng làm tài sản thế chấp thông thường trong hệ thống.

Kẻ tấn công sau đó gửi những rsETH không thế chấp này vào Aave làm tài sản thế chấp và cho vay một lượng lớn tài sản thực (WETH). Vì cài đặt tham số của Aave cho phép đặt cược và cho vay quy mô lớn nên kẻ tấn công đã hoàn thành khoản vay và chuyển tiền trong một khoảng thời gian ngắn.

Kết quả cuối cùng là: Kẻ tấn công chuyển rủi ro cho Aave bằng cách "làm giả tài sản thế chấp → cho vay tài sản thật", dẫn đến nợ xấu quy mô lớn.

7. Tên dự án: YieldBlox (Số tiền bị đánh cắp: khoảng 10,2 triệu USD, tháng 2 năm 2026)

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này là giá oracle có thể bị thao túng bởi một giao dịch duy nhất (thanh khoản thấp + cơ chế VWAP).

Trước cuộc tấn công, cặp giao dịch USTRY/USDC hầu như không có thanh khoản và không có giao dịch bình thường trong khung giá oracle. Nhà tiên tri Reflector được YieldBlox sử dụng dựa trên VWAP (Giá có trọng số theo khối lượng), trong đó một giao dịch duy nhất sẽ xác định giá.

Kẻ tấn công đầu tiên đăng một mức giá cực cao (khoảng 500 USDC / USTRY), sau đó sử dụng một tài khoản khác để hoàn tất giao dịch với khối lượng rất nhỏ (chỉ khoảng 0,05 USTRY), nâng thành công giá của nhà tiên tri lên khoảng 106 USD.

Sau khi giá được khuếch đại, USTRY do kẻ tấn công nắm giữ được hệ thống coi là tài sản thế chấp có giá trị cao, do đó nhận được giới hạn cho vay vượt xa giá trị thực tế. Kẻ tấn công sau đó đã trực tiếp cho vay tất cả tài sản trong nhóm (XLM và USDC) để hoàn tất việc rút tiền.

8. Tên dự án: Step Finance (Số tiền bị đánh cắp: khoảng 30 triệu đến 40 triệu đô la Mỹ, tháng 1 năm 2026)

Lý do bị đánh cắp:

Cốt lõi của cuộc tấn công này là thiết bị của các thành viên cốt lõi của dự án đã bị xâm phạm, dẫn đến mất khóa riêng hoặc quy trình chữ ký.

Kẻ tấn công đã giành được quyền truy cập vào ví kiểm soát dự án bằng cách xâm nhập vào thiết bị của một giám đốc điều hành nhóm. Quyền truy cập này có thể bao gồm việc trực tiếp lấy khóa riêng hoặc can thiệp vào quá trình ký giao dịch bằng cách cài đặt các chương trình độc hại, cho phép người quản lý vô tình phê duyệt các giao dịch độc hại.

Sau khi giành được quyền kiểm soát, kẻ tấn công đã hoạt động trên nhiều ví Solana do dự án kiểm soát, bao gồm cả tài sản không được đặt cược và chuyển tiền ra ngoài. Không có lỗ hổng hợp đồng thông minh nào liên quan đến toàn bộ quá trình và việc chuyển tiền được hoàn thành trực tiếp bằng cách sử dụng quyền của ví có được.

Cuối cùng, quỹ dự án đã được chuyển ra ngoài trên quy mô lớn, dẫn đến khoản lỗ khoảng 30 triệu USD và khiến giá token giảm mạnh.

9. Tên dự án: Truebit (Số tiền bị đánh cắp: khoảng 26 triệu USD, tháng 1 năm 2026)

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này nằm ở lỗ hổng tràn số nguyên trong chức năng định giá mua TRU.

Trong quá trình tính giá của buyTRU(), có nhiều phép nhân và phép cộng số lượng lớn được thực hiện nhưng hợp đồng sử dụng phiên bản được biên dịch Solidity 0.6.10 và không có kiểm tra tràn theo mặc định.

Khi kẻ tấn công truyền vào một tham số lớn cụ thể, giá trị tính toán trung gian sẽ tràn và giá trị bao quanh, khiến giá mua được tính toán cuối cùng thấp bất thường hoặc thậm chí bằng 0.

Trong trường hợp này, kẻ tấn công có thể mua một lượng lớn TRU với chi phí thấp hoặc miễn phí.

Logic bán của giao thức (sellTRU()) vẫn được tính theo quy tắc thông thường và có thể quy đổi lấy số ETH dự trữ trong hợp đồng theo tỷ lệ.

Sau đó, kẻ tấn công liên tục thực hiện:

Mua TRU với giá thấp/bằng 0 → bán với giá bình thường → rút ETH

Tiếp tục rút tiền khỏi giao thức qua nhiều vòng hoạt động, cuối cùng gây ra khoản lỗ khoảng 26 triệu USD.

10. Tên dự án: Makina (Số tiền bị đánh cắp: khoảng 4,1 triệu USD, tháng 1 năm 2026)

Lý do trộm cắp:

Cốt lõi của cuộc tấn công này là sự phụ thuộc vào dữ liệu nhóm Curve bên ngoài để tính toán AUM/giá cổ phiếu, thiếu xác minh và thao túng bằng các khoản vay nhanh.

Kẻ tấn công đã vay một lượng lớn tiền thông qua các khoản vay nhanh, tạm thời bơm thanh khoản vào nhiều nhóm Curve và thực hiện các giao dịch, đồng thời thay đổi một cách giả tạo trạng thái nhóm và các kết quả tính toán liên quan (chẳng hạn như giá trị LP, kết quả tính toán rút tiền, v.v.).

Dữ liệu bị thao túng này được giao thức sử dụng trực tiếp để tính toán AUM (Tài sản được quản lý) và ảnh hưởng hơn nữa đến sharePrice.

Do không có xác minh hiệu quả hoặc xử lý dữ liệu bên ngoài theo trọng số thời gian nên hệ thống coi những dữ liệu bất thường này là giá trị thực, dẫn đến:

·AUM tăng cao

·sharePrice được khuếch đại bất thường

Sau khi sharePrice tăng cao, kẻ tấn công sử dụng chênh lệch giá để thực hiện các hoạt động chênh lệch giá và hoán đổi tài sản trong nhóm DUSD/USDC để đạt được lợi nhuận.

3. Mô hình và tiết lộ phổ biến từ 20 sự cố bị đánh cắp

Từ 20 sự cố này, chúng ta thực sự có thể thấy một xu hướng ngày càng rõ ràng: chỉ có hai cách để tin tặc đánh cắp số lượng tài sản khổng lồ: sơ hở kỹ thuật và kỹ thuật xã hội.

1. Lỗ hổng kỹ thuật: Từ thời điểm phân bổ các trường hợp lỗ hổng kỹ thuật, có thể thấy đường di chuyển rõ ràng.

Các lỗ hổng kỹ thuật ban đầu tập trung nhiều vào các cầu nối chuỗi chéo. Cầu nối chuỗi chéo là cơ sở hạ tầng có tốc độ mở rộng nhanh nhất, mã mới nhất và khả năng kiểm tra yếu nhất trong DeFi ở giai đoạn đó. Nó mang theo rất nhiều tài sản nhưng chưa trải qua đủ các thử thách đối nghịch.

Sau đó, ngành bắt đầu chú ý đến tính bảo mật của cầu nối chuỗi chéo, các cơ chế xác minh nhìn chung được tăng cường và các lỗ hổng kỹ thuật của cầu nối chuỗi chéo quy mô lớn đã giảm đáng kể. Nhưng lỗ hổng này không biến mất mà chỉ xuất hiện ở một nơi khác - được chuyển sang logic toán học bên trong giao thức DeFi, thiết kế của máy oracle và sự phụ thuộc vào thư viện của bên thứ ba.

· Cetus: viết sai các điều kiện biên trong thư viện toán học,

· Truebit: tràn số nguyên trong các trình biên dịch cũ hơn,

· YieldBlox: tin tưởng quá mức vào các oracle trong thị trường có tính thanh khoản thấp.

Chỉ có một bản chất đằng sau điều này: bề mặt tấn công luôn tuân theo nội dung, độ tuổi của mã và các điểm mù trong phạm vi kiểm tra. Một loại cơ sở hạ tầng nhất định bị tấn công mạnh mẽ, ngành bắt đầu chú ý và hệ thống phòng thủ được tăng cường, sau đó những kẻ tấn công chuyển sang khu vực phát triển nhanh nhất tiếp theo với khả năng phòng thủ yếu nhất.

2. Kỹ thuật lừa đảo xã hội: Trong số 20 trường hợp bị đánh cắp này, 4 trường hợp đã được xác nhận hoặc được cho là có liên quan đến các nhóm hack nhà nước Triều Tiên - Ronin, WazirX, Bybit và Drift, với tổng thiệt hại vượt quá 2,5 tỷ USD.

Các nhóm hack có liên quan đến Triều Tiên đã đánh cắp hơn 2 tỷ USD tài sản tiền điện tử chỉ riêng trong năm 2025, chiếm gần 60% tổng số tiền điện tử toàn cầu bị đánh cắp trong năm đó, theo Chainalysis. Số vụ tấn công hack của Triều Tiên đã giảm 74% so với năm 2024, nhưng số tiền trung bình cho mỗi cuộc tấn công lại tăng đáng kể.

Các phương pháp của tin tặc Triều Tiên cũng tiếp tục nâng cấp, từ xâm nhập trực tiếp vào hệ thống nội bộ trong thời kỳ Ronin, đến tấn công chuỗi cung ứng của Bybit, đến xâm nhập ngoại tuyến kéo dài sáu tháng của Drift, mỗi lần chúng đều tìm ra những cách mới bên ngoài tuyến phòng thủ hiện có.

Điều đáng báo động hơn nữa là tin tặc Triều Tiên cũng đã triển khai các nhân viên bí mật quy mô lớn cải trang thành nhà phát triển trong ngành mã hóa toàn cầu. Sau khi vào công ty mục tiêu, những người này sẽ tìm ra cấu trúc hệ thống nội bộ, lấy quyền thư viện mã và âm thầm cấy các cửa hậu vào mã sản xuất.

Phạm vi tác động của hành vi trộm cắp đang mở rộng: Trong các vụ trộm cắp ban đầu, tác động về cơ bản chỉ giới hạn ở chính giao thức, nhưng khi DeFi trở nên dễ điều chỉnh hơn, các tác động đơn điểm bắt đầu được truyền ra bên ngoài.

· Trôi dạt: Sau vụ trộm, ít nhất 20 giao thức dựa vào tính thanh khoản hoặc chiến lược của nó đã bị gián đoạn, đình chỉ hoặc thua lỗ trực tiếp và 50% TVL của Carrot Protocol bị ảnh hưởng.

· Aave: Bản thân hợp đồng Aave không có vấn đề gì. Chỉ vì nó chấp nhận rsETH của Kelp DAO làm tài sản thế chấp, nên việc xác minh của cầu nối bên ngoài không thành công sẽ truyền trực tiếp đến rủi ro nợ xấu của Aave.

Những quy tắc này cuối cùng chỉ ra một thực tế: gửi tài sản vào một giao thức không chỉ là tin cậy vào mã của giao thức. Bạn cũng tin tưởng vào khả năng phán đoán và bảo mật hoạt động của mọi tài sản bên ngoài, mọi dịch vụ của bên thứ ba mà nó dựa vào và một số ít người có thẩm quyền hành chính.

Thời gian gần đây tin tức trộm cắp liên tiếp xảy ra. Polymarket only launched this month "Have any cryptocurrency projects been stolen for more than 100M this year?", but the market was settled in less than a month. Đây không phải là tai nạn. The asset size of DeFi is growing and the dependence between protocols is deepening, but the ability to keep money has not kept up with this speed.

Security pressure has not been relaxed, but the threat dimension is increasing. In April 2026, the Claude Mythos Preview released by Anthropic found thousands of high-severity vulnerabilities in every major operating system and browser in tests, and was able to convert 72% of known vulnerabilities into usable attack paths.

Once this ability is systematically scanned for smart contracts, it means that vulnerabilities in the DeFi industry will be discovered and exploited at an unprecedented speed. At the same time, project parties can also proactively use this tool to conduct self-checks, identify and repair potential risks in advance, and further improve their own security protection capabilities.

For ordinary users, these cases can bring several direct revelations:

1. Don’t concentrate assets in a single protocol. Although diversified storage cannot completely eliminate risks, it can control the upper limit of a single loss.

2. Keep your distance from new agreements. Most technical vulnerabilities are discovered early after the protocol goes live. A protocol that has been running for two years and has gone through multiple rounds of audits and real stress tests is much safer than a protocol that gives high returns just after it goes online.

3. Whether the agreement is truly profitable. Look at agreements that are profitable and have actual ability to pay in the event of losses. For protocols that rely on token incentives to maintain operation and have no real income themselves, once something goes wrong, the compensation plan can often only be to issue new coins or draw a pie.

A truly mature financial infrastructure will not allow security to always be ranked behind growth indicators. Until that day comes, the stolen news will not stop.

Original link