Hacker đánh cắp gần 17 triệu đô la trong 40 ngày, 'hợp đồng zombie' đang biến thành máy rút tiền của hacker

Tác giả: ZeroDrift

Điểm chính

• DxSale là trường hợp thiệt hại nặng nề nhất, kẻ tấn công đã đánh cắp khoảng 7.3 triệu đô la.
• Vấn đề không nằm ở một lỗ hổng cụ thể nào, mà nằm ở việc hợp đồng cũ không được ngừng hoạt động triệt để, vẫn giữ lại giá trị kinh tế và quyền hạn vận hành.

Theo phân tích của ZeroDrift được công bố vào ngày 22 tháng 6 năm 2026, trong 40 ngày qua, kẻ tấn công đã đánh cắp khoảng 16.9 triệu đô la từ năm hợp đồng thông minh đã bị ngừng sử dụng nhưng vẫn đang chạy trên chuỗi.

Cái gọi là "hợp đồng bị bỏ hoang" không đồng nghĩa với "hợp đồng hết hiệu lực". Nhiều hợp đồng mặc dù không còn được đội ngũ chủ động phát triển và bảo trì, nhưng vẫn được triển khai trên chuỗi, có thể nhận tiền, thực hiện giao dịch hoặc di chuyển tài sản. Chỉ cần bên trong vẫn còn tiền, ủy quyền hoặc điểm vào có thể gọi được, nó vẫn là mục tiêu tấn công.

Các sự kiện này tập trung xảy ra trong khoảng thời gian từ ngày 7 tháng 5 đến ngày 15 tháng 6 năm 2026. TrustedVolumes thiệt hại khoảng 5.87 triệu đô la, hồ bơi Huma Finance V1 mất khoảng 101 nghìn đô la, DxSale V1 Locker mất khoảng 7.3 triệu đô la, Raydium Legacy AMM pool mất khoảng 1.34 triệu đô la, Aztec Connect thì thiệt hại khoảng 2.28 triệu đô la trong hai cuộc tấn công liên tiếp.

Hình: Tổng thiệt hại tích lũy từ năm sự kiện liên quan đến hợp đồng bị bỏ hoang trong 40 ngày. Nguồn: ZeroDrift / X.

Hợp đồng không còn ai để mắt, vẫn có thể nắm giữ tiền

Trường hợp của DxSale đặc biệt điển hình. Hợp đồng locker phiên bản cũ của nó ban đầu được dùng để khóa thanh khoản dài hạn, đảm bảo tiền không thể bị rút ra trước thời hạn quy định. Nhưng rủi ro của hệ thống loại này cũng đến từ chính mục đích thiết kế của nó: chúng vốn dĩ được tạo ra để quản lý giá trị dài hạn.

Theo thời gian, sự chú ý của đội ngũ chuyển sang sản phẩm mới, các quy tắc giám sát bị suy yếu, nhân viên bảo trì thay đổi, các đường dẫn quyền hạn cũ và các giả định lịch sử dần bị lãng quên. ZeroDrift chỉ ra rằng, trong sự kiện DxSale, một đường dẫn điều khiển cũ đã trở nên khả dụng trở lại, dẫn đến việc thanh khoản lẽ ra phải bị khóa đã bị rút đi.

Năm sự kiện không phải là việc lặp lại khai thác cùng một lỗ hổng. Chúng xảy ra trên các hệ thống, kiến trúc và chuỗi khác nhau, liên quan đến các thành phần khác nhau như thanh toán RFQ, hồ bơi tín dụng, LP locker, AMM và rollup exit.

Điều thực sự giống nhau là trạng thái cốt lõi: các hợp đồng này đều không còn là trọng tâm phát triển chủ động của đội ngũ nữa, nhưng vẫn giữ lại giá trị kinh tế trên chuỗi.

Phân tích tự động đang làm gia tăng rủi ro từ hợp đồng cũ

Hợp đồng cũ vốn dĩ phù hợp để được tìm kiếm bởi các công cụ tự động: mã nguồn công khai, lịch sử trên chuỗi đầy đủ, giám sát yếu hơn, và thường giữ lại các giả định bảo mật lỗi thời. Trước đây, việc tìm kiếm có hệ thống những mục tiêu dài hạn này đòi hỏi chi phí nhân công lớn; hiện nay, tìm kiếm độ tương đồng mã, mô phỏng giao dịch, phân tích dữ liệu trên chuỗi và đánh giá hỗ trợ AI đang làm giảm chi phí tìm kiếm loại này.

ZeroDrift đồng thời nhấn mạnh, hiện không có bằng chứng công khai nào cho thấy AI tham gia vào năm cuộc tấn công cụ thể này. Điều đáng chú ý thực sự là sự thay đổi trong cấu trúc chi phí: kẻ tấn công ngày càng dễ dàng quét hệ thống "sản phẩm của ngày hôm qua", trong khi bên phòng thủ vẫn chưa quản lý một cách có hệ thống tương đương đối với "trách nhiệm của ngày hôm qua".

Ngành công nghiệp bảo mật DeFi đã hình thành quy trình kiểm toán trước khi đưa vào vận hành tương đối trưởng thành, nhưng việc ngừng hoạt động, di chuyển và giải thể hợp đồng vẫn thiếu kỷ luật nghiêm ngặt tương đương. Một hợp đồng sẽ không tự động an toàn chỉ vì đội ngũ ngừng bảo trì. Chỉ khi tiền, quyền hạn, ủy quyền, điểm vào và các giả định tin cậy đều được loại bỏ, nó mới thực sự nghỉ hưu.