Các lỗ hổng hợp đồng thông minh lớn đã lộ ra hơn 500 triệu đô la vào năm 2024
Năm 2024 đã chứng kiến sự gia tăng đáng báo động về các lỗ hổng hợp đồng thông minh, với Ethena (ENA) và các giao thức khác đã collectively chịu thiệt hại vượt quá 500 triệu đô la. Theo phân tích của OWASP về 149 sự cố bảo mật, những lỗ hổng này đã góp phần vào khoản thiệt hại tài chính lên đến 1,42 tỷ đô la trong các hệ sinh thái phi tập trung.
Các lỗ hổng chủ yếu thể hiện qua một số vector tấn công quan trọng:
| Loại lỗ hổng | Tác động | Ví dụ đáng chú ý |
|-------------------|--------|------------------|
| Xác thực tham số hàm không đúng | Lợi dụng giao thức, rút tiền | Khai thác giao thức Nexera |
| Tấn công quản trị | Manipulation of protocol decision-making | Nhiều giao thức DeFi |
| Tấn công vay chớp nhoáng | Thao túng giá, khai thác hợp đồng | Gây ra một phần lớn tổn thất |
| Thao túng oracle giá | 52 triệu đô la thiệt hại | Bị ảnh hưởng bởi 37 sự cố riêng biệt |
Chiến lược delta-neutral được Ethena's USDe sử dụng, sử dụng các vị thế short BTC và ETH futures để cân bằng những thay đổi trong giá trị tài sản thế chấp cơ bản, cho thấy sự phức tạp của các giao thức DeFi hiện đại mà các hacker nhắm đến. Những lỗ hổng tinh vi này làm nổi bật nhu cầu cấp bách về việc thực hiện kiểm toán bảo mật toàn diện và cải thiện cơ chế xác thực trong các hợp đồng thông minh khi hệ sinh thái Web3 tiếp tục phát triển và thu hút cả người dùng hợp pháp lẫn các tác nhân độc hại đang tìm cách khai thác các điểm yếu kỹ thuật.
Tài chính phi tập trung (DeFi) các giao thức vẫn là mục tiêu chính cho các hacker
Các giao thức tài chính phi tập trung vẫn tiếp tục bị tin tặc nhắm đến mạnh mẽ, gây ra những tác động tài chính đáng kể. Chỉ trong tháng 5 năm 2025, đã có khoảng 20 cuộc tấn công liên quan đến tiền điện tử xảy ra, chủ yếu nhắm vào các giao thức DeFi, cầu nối đa chuỗi và các nền tảng quản lý tài sản trên chuỗi. Mặc dù đã có các biện pháp an ninh được tăng cường, nhưng những lỗ hổng trong hợp đồng thông minh vẫn có thể bị khai thác, như được chứng minh bởi các sự cố lớn gần đây.
Dữ liệu tấn công gần đây tiết lộ những mô hình đáng lo ngại:
| Ngày Tấn Công | Giao Thức DeFi | Số Tiền Bị Đánh Cắp | Phương Thức Tấn Công |
|-------------|--------------|---------------|---------------|
| Tháng 1 năm 2025 | Moby (Arbitrum) | 2,5 triệu đô la | Lỗ hổng hợp đồng thông minh |
| Tháng 1 năm 2025 | Radiant Capital | 4.5 triệu đô la | Cuộc tấn công vay nhanh |
| Tháng 1 năm 2025 | Orbit Chain | 81 triệu đô la | Lỗ hổng cầu nối chuỗi chéo |
| Tháng 4 năm 2025 | UPCX | 70 triệu đô la | Lỗ hổng bảo mật nền tảng |
Sự vắng mặt của trung gian trong DeFi, mặc dù có lợi cho việc giảm chi phí, nhưng tạo ra những thách thức bảo mật độc đáo. Người dùng giữ quyền kiểm soát khóa riêng thay vì dựa vào các phương pháp xác minh truyền thống, khiến cho việc xác thực hai yếu tố thông thường trở nên không hiệu quả. Ngoài ra, việc tự động hóa các dịch vụ tài chính thông qua hợp đồng thông minh tạo ra các điểm dễ bị tổn thương mà hacker thường xuyên khai thác. Các chuyên gia trong ngành cho rằng cần có các cuộc kiểm toán bảo mật nghiêm ngặt hơn, với Paul Frambot của Morpho Labs lưu ý: "DeFi thực sự cần phải tỉnh táo. Đã bảy năm, nhưng mỗi tuần, lại có các vụ hack quy mô lớn mới, các sự cố làm đông băng các nền tảng, các cuộc tấn công kinh tế."
Các sàn giao dịch tập trung vẫn đặt ra rủi ro về quyền sở hữu mặc dù đã cải thiện các biện pháp an ninh
Mặc dù đã có những tiến bộ trong các giao thức bảo mật, các sàn giao dịch tập trung vẫn dễ bị tấn công do thiết kế nội tại của chúng như những điểm thất bại đơn lẻ. Cảnh quan tiền điện tử tiếp tục chứng kiến những vụ vi phạm lớn, với hơn 2 tỷ USD bị mất do hack chỉ trong năm 2023. Những sự cố này làm nổi bật những rủi ro giám sát liên tục mà hệ sinh thái sàn giao dịch tập trung phải đối mặt.
Để giải quyết những lỗ hổng này, một phương pháp bảo mật mới đã thu hút sự chú ý trong những năm gần đây: Giải quyết ngoài sàn (OES). Giải pháp này cho phép người dùng giữ quyền kiểm soát tài sản của họ trong khi vẫn tham gia vào các hoạt động giao dịch trên sàn.
| Yếu tố rủi ro | CEX truyền thống | Thanh toán ngoài sàn |
|-------------|----------------|------------------------|
| Kiểm soát tài sản | Sàn giao dịch giữ khóa | Người dùng giữ quyền sở hữu |
| Điểm Thất Bại Đơn Lẻ | Có | Không |
| Rủi ro đối tác | Cao | Giảm đáng kể |
| Tùy chọn phục hồi | Hạn chế | Tự quản lý |
Sự gia tăng của ENA và các giải pháp phi tập trung khác đại diện cho một phản ứng đối với những lo ngại về quyền sở hữu đang diễn ra. Các tổ chức tài chính đã bắt đầu khám phá các phương thức thanh toán bằng tiền điện tử và các lựa chọn tiền tệ kỹ thuật số nhằm giảm thiểu rủi ro tập trung trong khi đảm bảo an ninh cho tài sản. Sự chuyển mình hướng tới các giải pháp không lưu ký phản ánh sự nhận thức ngày càng tăng về những hạn chế an ninh cơ bản mà các sàn giao dịch tập trung phải đối mặt mặc dù họ vẫn tiếp tục nỗ lực nâng cao các biện pháp bảo vệ.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Những lỗ hổng lớn nhất của Hợp đồng thông minh trong Tiền điện tử là gì và nhà đầu tư có thể bảo vệ bản thân như thế nào vào năm 2025?
Các lỗ hổng hợp đồng thông minh lớn đã lộ ra hơn 500 triệu đô la vào năm 2024
Năm 2024 đã chứng kiến sự gia tăng đáng báo động về các lỗ hổng hợp đồng thông minh, với Ethena (ENA) và các giao thức khác đã collectively chịu thiệt hại vượt quá 500 triệu đô la. Theo phân tích của OWASP về 149 sự cố bảo mật, những lỗ hổng này đã góp phần vào khoản thiệt hại tài chính lên đến 1,42 tỷ đô la trong các hệ sinh thái phi tập trung.
Các lỗ hổng chủ yếu thể hiện qua một số vector tấn công quan trọng:
| Loại lỗ hổng | Tác động | Ví dụ đáng chú ý | |-------------------|--------|------------------| | Xác thực tham số hàm không đúng | Lợi dụng giao thức, rút tiền | Khai thác giao thức Nexera | | Tấn công quản trị | Manipulation of protocol decision-making | Nhiều giao thức DeFi | | Tấn công vay chớp nhoáng | Thao túng giá, khai thác hợp đồng | Gây ra một phần lớn tổn thất | | Thao túng oracle giá | 52 triệu đô la thiệt hại | Bị ảnh hưởng bởi 37 sự cố riêng biệt |
Chiến lược delta-neutral được Ethena's USDe sử dụng, sử dụng các vị thế short BTC và ETH futures để cân bằng những thay đổi trong giá trị tài sản thế chấp cơ bản, cho thấy sự phức tạp của các giao thức DeFi hiện đại mà các hacker nhắm đến. Những lỗ hổng tinh vi này làm nổi bật nhu cầu cấp bách về việc thực hiện kiểm toán bảo mật toàn diện và cải thiện cơ chế xác thực trong các hợp đồng thông minh khi hệ sinh thái Web3 tiếp tục phát triển và thu hút cả người dùng hợp pháp lẫn các tác nhân độc hại đang tìm cách khai thác các điểm yếu kỹ thuật.
Tài chính phi tập trung (DeFi) các giao thức vẫn là mục tiêu chính cho các hacker
Các giao thức tài chính phi tập trung vẫn tiếp tục bị tin tặc nhắm đến mạnh mẽ, gây ra những tác động tài chính đáng kể. Chỉ trong tháng 5 năm 2025, đã có khoảng 20 cuộc tấn công liên quan đến tiền điện tử xảy ra, chủ yếu nhắm vào các giao thức DeFi, cầu nối đa chuỗi và các nền tảng quản lý tài sản trên chuỗi. Mặc dù đã có các biện pháp an ninh được tăng cường, nhưng những lỗ hổng trong hợp đồng thông minh vẫn có thể bị khai thác, như được chứng minh bởi các sự cố lớn gần đây.
Dữ liệu tấn công gần đây tiết lộ những mô hình đáng lo ngại:
| Ngày Tấn Công | Giao Thức DeFi | Số Tiền Bị Đánh Cắp | Phương Thức Tấn Công | |-------------|--------------|---------------|---------------| | Tháng 1 năm 2025 | Moby (Arbitrum) | 2,5 triệu đô la | Lỗ hổng hợp đồng thông minh | | Tháng 1 năm 2025 | Radiant Capital | 4.5 triệu đô la | Cuộc tấn công vay nhanh | | Tháng 1 năm 2025 | Orbit Chain | 81 triệu đô la | Lỗ hổng cầu nối chuỗi chéo | | Tháng 4 năm 2025 | UPCX | 70 triệu đô la | Lỗ hổng bảo mật nền tảng |
Sự vắng mặt của trung gian trong DeFi, mặc dù có lợi cho việc giảm chi phí, nhưng tạo ra những thách thức bảo mật độc đáo. Người dùng giữ quyền kiểm soát khóa riêng thay vì dựa vào các phương pháp xác minh truyền thống, khiến cho việc xác thực hai yếu tố thông thường trở nên không hiệu quả. Ngoài ra, việc tự động hóa các dịch vụ tài chính thông qua hợp đồng thông minh tạo ra các điểm dễ bị tổn thương mà hacker thường xuyên khai thác. Các chuyên gia trong ngành cho rằng cần có các cuộc kiểm toán bảo mật nghiêm ngặt hơn, với Paul Frambot của Morpho Labs lưu ý: "DeFi thực sự cần phải tỉnh táo. Đã bảy năm, nhưng mỗi tuần, lại có các vụ hack quy mô lớn mới, các sự cố làm đông băng các nền tảng, các cuộc tấn công kinh tế."
Các sàn giao dịch tập trung vẫn đặt ra rủi ro về quyền sở hữu mặc dù đã cải thiện các biện pháp an ninh
Mặc dù đã có những tiến bộ trong các giao thức bảo mật, các sàn giao dịch tập trung vẫn dễ bị tấn công do thiết kế nội tại của chúng như những điểm thất bại đơn lẻ. Cảnh quan tiền điện tử tiếp tục chứng kiến những vụ vi phạm lớn, với hơn 2 tỷ USD bị mất do hack chỉ trong năm 2023. Những sự cố này làm nổi bật những rủi ro giám sát liên tục mà hệ sinh thái sàn giao dịch tập trung phải đối mặt.
Để giải quyết những lỗ hổng này, một phương pháp bảo mật mới đã thu hút sự chú ý trong những năm gần đây: Giải quyết ngoài sàn (OES). Giải pháp này cho phép người dùng giữ quyền kiểm soát tài sản của họ trong khi vẫn tham gia vào các hoạt động giao dịch trên sàn.
| Yếu tố rủi ro | CEX truyền thống | Thanh toán ngoài sàn | |-------------|----------------|------------------------| | Kiểm soát tài sản | Sàn giao dịch giữ khóa | Người dùng giữ quyền sở hữu | | Điểm Thất Bại Đơn Lẻ | Có | Không | | Rủi ro đối tác | Cao | Giảm đáng kể | | Tùy chọn phục hồi | Hạn chế | Tự quản lý |
Sự gia tăng của ENA và các giải pháp phi tập trung khác đại diện cho một phản ứng đối với những lo ngại về quyền sở hữu đang diễn ra. Các tổ chức tài chính đã bắt đầu khám phá các phương thức thanh toán bằng tiền điện tử và các lựa chọn tiền tệ kỹ thuật số nhằm giảm thiểu rủi ro tập trung trong khi đảm bảo an ninh cho tài sản. Sự chuyển mình hướng tới các giải pháp không lưu ký phản ánh sự nhận thức ngày càng tăng về những hạn chế an ninh cơ bản mà các sàn giao dịch tập trung phải đối mặt mặc dù họ vẫn tiếp tục nỗ lực nâng cao các biện pháp bảo vệ.