Beosin：Các sự kiện an ninh chính trong tháng 5, 36 vụ, tổng thiệt hại vượt quá 76 triệu USD

Viết bài: Beosin

Theo dữ liệu giám sát của nền tảng Beosin Alert, vào tháng 5 năm 2026, tổng thiệt hại do các sự kiện an ninh khác nhau là khoảng 76,15 triệu USD, xảy ra tổng cộng 36 vụ tấn công hacker lớn, nguyên nhân chính là lỗ hổng hợp đồng và rò rỉ khoá riêng. Trong đó, có 17 vụ an ninh liên quan đến lỗ hổng hợp đồng/mạng, 10 vụ do rò rỉ khoá riêng, an ninh mã nguồn của hệ sinh thái DeFi và an toàn vận hành đang đối mặt với thử thách nghiêm trọng.

Top 10 giao thức thiệt hại trong tháng 5

Cầu nối liên chuỗi Verus-Ethereum kết nối chuỗi Verus L1 và Ethereum bị tấn công do lỗ hổng hợp đồng, thiệt hại lớn nhất, đạt 11,58 triệu USD. Echo Protocol bị tấn công do rò rỉ khoá riêng, nhà tấn công đã đúc 1000 eBTC (giá trị ước tính khoảng 76,7 triệu USD), nhưng do hạn chế về thanh khoản, lợi nhuận thực tế cuối cùng khoảng 5,13 triệu USD.

Các loại dự án bị tấn công và thiệt hại trên các chuỗi

Các đối tượng bị tấn công bao gồm cầu nối liên chuỗi, sàn giao dịch phi tập trung, hợp đồng vay mượn, thị trường dự đoán, stablecoin, người dùng thông thường, v.v., trong đó cầu nối liên chuỗi thiệt hại nhiều nhất, lên tới 27,995 triệu USD, các dự án liên quan đến DeFi bị tấn công nhiều nhất, thống kê là 14 lần.

Trong tháng 5, chuỗi có thiệt hại lớn nhất là Ethereum, thiệt hại vượt quá 48,76 triệu USD, một số cầu nối liên chuỗi và phần lớn các hợp đồng DeFi vẫn chủ yếu dựa trên Ethereum. Tiếp theo là BNB Chain, Monad, TON, ngoài ra Monero, Bitcoin cũng xảy ra các sự cố an ninh, tình hình tấn công trên nhiều chuỗi thể hiện rõ xu hướng đa chuỗi.

Phân tích các sự kiện an ninh chính

1. Verus: Lỗi xác thực tin nhắn liên chuỗi

Cách hoạt động của Cầu nối Verus-Ethereum là do bên gửi cung cấp dữ liệu chứng minh, cho thấy trên chuỗi Verus có một khoản xuất ra hợp lệ đã được công chứng xác nhận, sau khi hợp đồng cầu nối xác thực thành công sẽ phát hành tài sản trên Ethereum. Tuy nhiên, lỗ hổng nằm ở chỗ hợp đồng cầu nối trên Ethereum dù xác thực chứng minh từ chuỗi Verus, nhưng không kiểm tra xem dữ liệu đó có phải là xuất ra hợp lệ hay không, cho phép kẻ tấn công tạo ra các xuất giả mạo qua xác thực, từ đó rút tiền vượt quá số tiền gửi ban đầu.

Phần mã có lỗ hổng:

Lỗ hổng trong sự kiện này thuộc loại tương tự với các lỗ hổng đã gây thiệt hại 320 triệu USD cho Wormhole năm 2022, và 190 triệu USD cho Nomad, đều là các cầu nối xác thực tin nhắn nhưng không kiểm tra giá trị của khoản tiền liên quan.

2. Trusted Volumes: Lỗi tham số ký

Kẻ tấn công lần này đã lợi dụng lỗi thiết kế ký trong quy trình RFQ (Yêu cầu báo giá) của TrustedVolumes, trong quá trình chuyển khoản thực tế, bằng cách tùy chỉnh dữ liệu ký, đặt người chuyển tiền là hợp đồng Resolver của TrustedVolumes và thành công qua xác thực, từ đó chuyển tài sản trong hợp đồng Resolver ra để kiếm lợi.

Phần mã có lỗ hổng:

Kiểm tra quyền hạn tham chiếu đến varg4, nhưng việc chuyển tiền lại tham chiếu các tham số khác, thiếu kiểm tra khiến ký tự xác thực không khớp với địa chỉ trừ tiền thực tế.

Kẻ tấn công chỉ cần ký một đơn hàng đã đăng ký với địa chỉ ký là Exploit (qua xác thực ký), các tham số ký khác (token, số tiền) có thể đặt là bất kỳ, ví dụ như một đơn hàng giả 1:1, để qua kiểm tra giá hợp lý của oracle, sau đó rút tiền từ hợp đồng:

3. Ví dụ về rò rỉ khoá riêng của StablR

Trong tháng 5 đã xảy ra nhiều vụ rò rỉ khoá riêng, tổng thiệt hại vượt quá 25 triệu USD. Trong đó, StablR, với vai trò phát hành stablecoin hợp pháp, trở thành bài học điển hình về quản trị an ninh trong lĩnh vực stablecoin và DeFi.

StablR đã phát hành hai loại stablecoin hợp pháp: EURR và USDR, trong đó ví đa chữ ký kiểm soát EURR là 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; ví đa chữ ký kiểm soát USDR là 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.

Do hai ví đa chữ ký này chỉ cần một chữ ký để thực hiện giao dịch, kẻ tấn công kiểm soát được địa chỉ owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, đã thêm địa chỉ 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 vào hai ví đa chữ ký này, từ đó kiểm soát quyền phát hành tiền của dự án:

Các sự kiện như vậy không phải do lỗi mã, mà là vấn đề vận hành của dự án: không lưu trữ tốt khoá riêng của các địa chỉ đặc quyền, không áp dụng đa chữ ký với ngưỡng cao cho các thao tác quan trọng, không có thời gian khóa cho các hoạt động lớn, thiếu cơ chế phản ứng nhanh khi có sự cố.

Xu hướng đe dọa an ninh Web3

Trong năm 2026, xu hướng nổi bật nhất của an ninh Web3 là mở rộng hệ thống các mặt tấn công một cách hệ thống. Các lỗ hổng xuất hiện đồng thời trong mã nguồn, hạ tầng, tương tác và quy trình con người, chỉ dựa vào các cuộc kiểm tra an ninh hoặc công cụ không thể bao quát các lĩnh vực vận hành an toàn, nhân viên, hạ tầng đám mây, chuỗi cung ứng phần mềm. Điều này đặt ra yêu cầu cao hơn đối với vận hành an toàn liên tục của các dự án Web3.

Ngoài ra, các cuộc tấn công vào các hợp đồng cũ hoặc đã bỏ đi diễn ra thường xuyên, trong đó các lỗ hổng hoặc quyền hạn dễ bị khai thác bởi kẻ tấn công. Các nhà phát triển hoặc vận hành hợp đồng cần kiểm tra lại độ an toàn của các hợp đồng cũ, xử lý kịp thời hoặc chuyển nhượng các khoản tiền còn lại trong hợp đồng, liên hệ với người dùng để huỷ bỏ các quyền hạn không cần thiết. Người dùng cũng nên định kỳ kiểm tra và huỷ bỏ các quyền truy cập không còn sử dụng qua trình duyệt blockchain hoặc công cụ thu hồi quyền.