Tác giả: Beosin
Theo số liệu thống kê từ nền tảng giám sát Beosin Alert, tháng 5 năm 2026, tổng thiệt hại của các sự kiện bảo mật ước tính khoảng 76,15 triệu USD, đã xảy ra tổng cộng 36 vụ tấn công hacker lớn, nguyên nhân chủ yếu là do lỗ hổng hợp đồng và rò rỉ khóa riêng tư. Trong đó, có 17 sự kiện mất an toàn do lỗ hổng hợp đồng/mạng lưới, 10 sự kiện thiệt hại do rò rỉ khóa riêng tư, vấn đề an ninh mã nguồn và an ninh vận hành của hệ sinh thái DeFi đang đối mặt với thách thức nghiêm trọng.
Top 10 giao thức thiệt hại trong tháng 5
Cầu nối xuyên chuỗi Verus-Ethereum Bridge kết nối chuỗi Verus L1 và Ethereum bị tấn công do lỗ hổng hợp đồng, với thiệt hại lớn nhất lên đến 11,58 triệu USD. Echo Protocol do rò rỉ khóa riêng tư đã bị kẻ tấn công đúc 1000 eBTC (giá trị danh nghĩa khoảng 76,7 triệu USD), nhưng do hạn chế về thanh khoản, lợi nhuận thực tế cuối cùng chỉ khoảng 5,13 triệu USD.
Loại hình dự án bị tấn công và tình hình thiệt hại trên các chuỗi
Đối tượng bị tấn công bao gồm nhiều loại hình như cầu nối xuyên chuỗi, sàn giao dịch phi tập trung, giao thức cho vay, thị trường dự đoán, stablecoin, người dùng thông thường, v.v... Trong đó, cầu nối xuyên chuỗi chịu thiệt hại lớn nhất về số tiền, lên tới 27,995 triệu USD. Các dự án liên quan đến DeFi bị tấn công nhiều lần nhất, thống kê là 14 lần.
Chuỗi có thiệt hại lớn nhất trong tháng 5 là Ethereum, với tổng số tiền thiệt hại vượt quá 48,76 triệu USD, phần lớn các sự kiện an ninh liên quan đến cầu nối xuyên chuỗi và nhiều giao thức DeFi vẫn tập trung chủ yếu trên Ethereum. Tiếp theo là BNB Chain, Monad, TON, ngoài ra Monero, Bitcoin cũng có sự kiện bảo mật xảy ra, cho thấy xu hướng tấn công đa chuỗi.
Phân tích các sự kiện bảo mật chính
1. Verus: Khiếm khuyết trong xác minh tin nhắn xuyên chuỗi
Cách thức hoạt động của Verus-Ethereum Bridge là bên gửi cung cấp dữ liệu chứng minh cho thấy trên chuỗi Verus có một đầu ra hợp lệ đã được công chứng xác nhận, sau khi hợp đồng cầu nối xác minh thành công sẽ giải phóng tài sản trên Ethereum. Lỗ hổng nằm ở chỗ hợp đồng cầu nối phía Ethereum tuy đã xác minh chứng minh từ chuỗi Verus, nhưng lại không kiểm tra xem dữ liệu đó có phải là đầu ra gốc hợp lệ hay không, cho phép kẻ tấn công tạo ra đầu ra giả mạo để vượt qua xác minh và rút số tiền vượt xa số tiền ký gửi của họ.
Phần mã chứa lỗ hổng:
Lỗ hổng trong sự kiện này thuộc cùng một loại với lỗ hổng khiến Wormhole thiệt hại 320 triệu USD năm 2022 và Nomad thiệt hại 190 triệu USD, đều là do cầu nối xác minh bản thân tin nhắn nhưng không xác minh giá trị tài sản đằng sau nó.
2. Trusted Volumes: Khiếm khuyết tham số chữ ký
Trong lần tấn công này, kẻ tấn công đã lợi dụng khiếm khuyết thiết kế chữ ký trong quy trình yêu cầu báo giá (RFQ) của TrustedVolumes, khi thực hiện chuyển tiền thực tế thông qua dữ liệu chữ ký tùy chỉnh, đã thiết lập bên chuyển tiền thành hợp đồng Resolver của TrustedVolumes và vượt qua kiểm tra suôn sẻ, từ đó chuyển tài sản trong hợp đồng Resolver ra ngoài để thu lợi.
Phần mã chứa lỗ hổng:
Việc kiểm tra ủy quyền tham chiếu đến varg4, nhưng việc thực hiện chuyển tiền lại tham chiếu đến các tham số khác, việc thiếu kiểm tra dẫn đến miền người ký được ủy quyền không khớp với địa chỉ khấu trừ thực tế.
Vậy kẻ tấn công chỉ cần dùng địa chỉ người ký đã đăng ký để ký một đơn hàng, trong đó maker = Exploit (vượt qua kiểm tra chữ ký), các tham số chữ ký khác (token, số lượng) có thể đặt thành giá trị tùy ý, ví dụ như đơn hàng giả 1:1, để vượt qua kiểm tra giá hợp lý của oracle giá, sau đó rút tài sản từ hợp đồng giao thức:
3. Sự kiện rò rỉ khóa riêng tư lấy StablR làm ví dụ
Tháng 5 đã xảy ra nhiều vụ rò rỉ khóa riêng tư, tổng số tiền thiệt hại vượt quá 25 triệu USD. Trong đó, StablR với tư cách là đơn vị phát hành stablecoin tuân thủ, đã trở thành bài học điển hình về quản trị an ninh trong lĩnh vực stablecoin và DeFi.
StablR đã ra mắt hai sản phẩm stablecoin tuân thủ: EURR và USDR, trong đó ví đa chữ ký kiểm soát việc đúc EURR là 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; ví đa chữ ký kiểm soát việc đúc USDR là 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.
Do hai ví đa chữ ký trên chỉ cần 1 chữ ký để phát giao dịch, kẻ tấn công thông qua việc kiểm soát địa chỉ chủ sở hữu 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, đã thêm địa chỉ 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 vào hai ví đa chữ ký trên, từ đó kiểm soát được quyền đúc tiền của dự án:
Loại sự kiện này không nằm ở lỗ hổng mã, mà là vấn đề an ninh vận hành của đội ngũ dự án: không bảo quản tốt khóa riêng tư của địa chỉ đặc quyền, đối với các thao tác có giá trị cao/rủi ro cao không sử dụng đa chữ ký với ngưỡng cao, đối với các thao tác đúc tiền số lượng lớn không có khóa thời gian, thiếu cơ chế phản ứng nhanh khẩn cấp.
Xu hướng mối đe dọa an ninh Web3
Xu hướng sâu sắc nhất được thể hiện trong an ninh Web3 năm 2026 là sự mở rộng có hệ thống của mặt tấn công. Lỗ hổng đang xuất hiện đồng thời trong mã, cơ sở hạ tầng, tương tác vận hành và quy trình con người, chỉ dựa vào một vài lần kiểm toán an ninh hoặc công cụ không thể bao quát các lĩnh vực như an ninh vận hành, phía nhân viên, cơ sở hạ tầng đám mây, chuỗi cung ứng phần mềm. Điều này đặt ra yêu cầu cao hơn về an ninh vận hành liên tục cho các đội ngũ dự án Web3.
Ngoài ra, các cuộc tấn công nhắm vào hợp đồng cũ/không còn sử dụng diễn ra thường xuyên, trong đó các lỗ hổng hoặc ủy quyền rất dễ bị kẻ tấn công khai thác. Nhà phát triển hoặc người vận hành hợp đồng nên kiểm tra lại tính an toàn của các hợp đồng cũ, đối với các hợp đồng không còn sử dụng, nên xử lý kịp thời hoặc chuyển số tiền còn sót lại trong hợp đồng một cách hợp lý, liên hệ với người dùng để hủy các ủy quyền không cần thiết. Người dùng cũng nên định kỳ sử dụng trình duyệt blockchain hoặc công cụ hủy ủy quyền để kiểm tra và hủy các ủy quyền hợp đồng không còn sử dụng.
