Lỗ hổng hợp đồng thông minh đã dẫn đến thiệt hại 2 tỷ đô la trong tiền điện tử
Quý đầu tiên của năm 2025 chứng kiến một sự gia tăng đáng lo ngại về tổn thất tiền điện tử do lỗ hổng hợp đồng thông minh, với người dùng tài sản kỹ thuật số mất khoảng 2 tỷ đô la cho tin tặc. Điều này đại diện cho một sự gia tăng đáng kể so với cùng kỳ năm 2024, với tổn thất gần như gấp đôi theo năm. Các lỗ hổng kiểm soát truy cập đã nổi lên như là vector tấn công chủ đạo, chiếm tới 1,63 tỷ đô la trong tổng số tổn thất.
| Loại hack | Số tiền mất (Q1 2025) | Tỷ lệ phần trăm của tổng số |
|-----------|-------------------|-------------------|
| Lỗi Kiểm Soát Truy Cập | $1.63 tỷ | 81.5% |
| Các lỗ hổng khác | $370 triệu | 18.5% |
| Tổng cộng | $2 tỷ | 100% |
Sự cố khai thác sàn giao dịch Bybit nổi bật như một trong những sự kiện an ninh tàn phá nhất, dẫn đến việc 1,46 tỷ USD bị đánh cắp. Cuộc tấn công đơn lẻ này chiếm gần 73% tổng thiệt hại cryptocurrency trong khoảng thời gian này. Công ty an ninh Hacken báo cáo rằng trong nửa đầu năm 2025, tin tặc đã thực hiện 334 cuộc tấn công với tổng thiệt hại lên tới 2,47 tỷ USD, đã vượt qua toàn bộ số liệu của năm trước. Sự thống trị liên tục của các cuộc tấn công kiểm soát truy cập làm nổi bật sự cần thiết cấp bách phải cải thiện các thực hành an ninh và kiểm toán mã mạnh mẽ hơn trong không gian cryptocurrency, đặc biệt khi các ứng dụng [Web3] ngày càng phức tạp và có giá trị hơn.
Năm lỗ hổng chính bị khai thác: tái nhập, tràn/thiếu, kiểm soát truy cập, chạy trước, và lỗi logic
An ninh hợp đồng thông minh vẫn là điều tối quan trọng trong hệ sinh thái blockchain, với năm lỗ hổng quan trọng thường bị kẻ tấn công khai thác. Các cuộc tấn công tái nhập, được chứng minh nổi tiếng trong vụ hack DAO năm 2016, xảy ra khi các hợp đồng thực hiện các cuộc gọi bên ngoài trước khi cập nhật các trạng thái nội bộ, cho phép rút tiền đệ quy—dẫn đến khoảng 60 triệu đô la ETH bị đánh cắp. Các lỗ hổng tràn số nguyên/thiếu số nguyên mang lại rủi ro đáng kể khi các phép toán số học vượt quá giới hạn kích thước biến, gây ra hành vi không mong muốn trong hợp đồng.
Lỗi kiểm soát truy cập đại diện cho một mối đe dọa thường trực khác, đứng thứ #1 trong danh sách các lỗ hổng hợp đồng thông minh của OWASP do các hành động quản trị không được phép và khai thác chức năng riêng. Các cuộc tấn công trước khi chạy khai thác bản chất minh bạch của blockchain, nơi các tác nhân độc hại quan sát các giao dịch đang chờ xử lý và chèn giao dịch của riêng họ với phí gas cao hơn để thực hiện trước, thao túng điều kiện thị trường hoặc đánh cắp cơ hội.
Lỗi logic, có lẽ là lỗ hổng cơ bản nhất, phát sinh từ việc triển khai logic kinh doanh sai. Chúng có thể biểu hiện dưới dạng sai sót trong tính toán, chuyển tiếp trạng thái không chính xác, hoặc kiểm tra xác thực không đúng. Hệ quả của những lỗ hổng này rất nghiêm trọng, như được minh chứng trong dữ liệu vi phạm bảo mật sau đây:
| Loại lỗ hổng | Các sự cố đáng chú ý | Mức tổn thất trung bình (USD) |
|-------------------|-------------------|-------------------|
| Tấn công tái nhập | Cuộc tấn công DAO (2016) | 60,000,000 |
| Kiểm Soát Truy Cập | Nhiều cuộc tấn công DeFi | 15,000,000 |
| Lỗi Logic | Các giao thức khác nhau | 22,000,000 |
Các kiểm toán bảo mật chuyên nghiệp vẫn là điều cần thiết để xác định những lỗ hổng này trước khi triển khai.
Các sàn giao dịch tập trung nắm giữ quỹ của người dùng vẫn là một yếu tố rủi ro đáng kể
Các sàn giao dịch tiền điện tử tập trung tạo ra một vector rủi ro thường trực trong hệ sinh thái tài sản kỹ thuật số do mô hình lưu ký của chúng. Khi người dùng gửi tiền vào những nền tảng này, họ thực tế đã từ bỏ quyền kiểm soát các khóa riêng của mình, tạo ra một điểm thất bại duy nhất khiến hàng triệu đô la phải đối mặt với các mối đe dọa tiềm tàng. Những vụ vi phạm an ninh gần đây chứng minh sự dễ bị tổn thương này, với các hacker nhắm vào cơ sở hạ tầng của sàn giao dịch thay vì phải xâm phạm từng ()[wallets].
Khung trách nhiệm cho các sàn giao dịch này vẫn chưa đầy đủ ở nhiều khu vực pháp lý, để lại cho người dùng ít biện pháp khắc phục khi sự cố xảy ra. Mặc dù đã có những khoản đầu tư đáng kể vào các biện pháp bảo mật, các sàn giao dịch nắm giữ lượng lớn quỹ của người dùng vẫn tiếp tục thu hút các cuộc tấn công tinh vi, như được chứng minh bởi những vụ vi phạm nổi bật gần đây.
| Yếu tố rủi ro | Tác động | Bằng chứng thực tế |
|-------------|--------|---------------------|
| Lỗ hổng bảo mật | Thiệt hại tài chính trực tiếp | Nhiều vụ hack sàn giao dịch dẫn đến mất hàng tỷ |
| Vấn đề Kiểm Soát Tài Sản | Người dùng mất quyền tự chủ tài sản | Khóa riêng được kiểm soát bởi bên thứ ba |
| Sự không chắc chắn về quy định | Bảo vệ người dùng hạn chế | Giám sát khác nhau giữa các khu vực pháp lý |
Mô hình tập trung này về cơ bản mâu thuẫn với giả thuyết cốt lõi của công nghệ blockchain - phân quyền và quyền tự chủ của người dùng. Khi thị trường phát triển, ngày càng nhiều nhà đầu tư đang khám phá các lựa chọn thay thế phi tập trung cung cấp các tùy chọn tự quản, qua đó giảm thiểu các rủi ro tiềm ẩn liên quan đến việc ủy thác quỹ cho các thực thể tập trung có thể gặp phải các thách thức về vận hành, an ninh hoặc thậm chí gian lận.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
5 Lỗ hổng Hợp đồng thông minh lớn nhất nào đã dẫn đến thiệt hại $2 tỷ trong Tiền điện tử?
Lỗ hổng hợp đồng thông minh đã dẫn đến thiệt hại 2 tỷ đô la trong tiền điện tử
Quý đầu tiên của năm 2025 chứng kiến một sự gia tăng đáng lo ngại về tổn thất tiền điện tử do lỗ hổng hợp đồng thông minh, với người dùng tài sản kỹ thuật số mất khoảng 2 tỷ đô la cho tin tặc. Điều này đại diện cho một sự gia tăng đáng kể so với cùng kỳ năm 2024, với tổn thất gần như gấp đôi theo năm. Các lỗ hổng kiểm soát truy cập đã nổi lên như là vector tấn công chủ đạo, chiếm tới 1,63 tỷ đô la trong tổng số tổn thất.
| Loại hack | Số tiền mất (Q1 2025) | Tỷ lệ phần trăm của tổng số | |-----------|-------------------|-------------------| | Lỗi Kiểm Soát Truy Cập | $1.63 tỷ | 81.5% | | Các lỗ hổng khác | $370 triệu | 18.5% | | Tổng cộng | $2 tỷ | 100% |
Sự cố khai thác sàn giao dịch Bybit nổi bật như một trong những sự kiện an ninh tàn phá nhất, dẫn đến việc 1,46 tỷ USD bị đánh cắp. Cuộc tấn công đơn lẻ này chiếm gần 73% tổng thiệt hại cryptocurrency trong khoảng thời gian này. Công ty an ninh Hacken báo cáo rằng trong nửa đầu năm 2025, tin tặc đã thực hiện 334 cuộc tấn công với tổng thiệt hại lên tới 2,47 tỷ USD, đã vượt qua toàn bộ số liệu của năm trước. Sự thống trị liên tục của các cuộc tấn công kiểm soát truy cập làm nổi bật sự cần thiết cấp bách phải cải thiện các thực hành an ninh và kiểm toán mã mạnh mẽ hơn trong không gian cryptocurrency, đặc biệt khi các ứng dụng [Web3] ngày càng phức tạp và có giá trị hơn.
Năm lỗ hổng chính bị khai thác: tái nhập, tràn/thiếu, kiểm soát truy cập, chạy trước, và lỗi logic
An ninh hợp đồng thông minh vẫn là điều tối quan trọng trong hệ sinh thái blockchain, với năm lỗ hổng quan trọng thường bị kẻ tấn công khai thác. Các cuộc tấn công tái nhập, được chứng minh nổi tiếng trong vụ hack DAO năm 2016, xảy ra khi các hợp đồng thực hiện các cuộc gọi bên ngoài trước khi cập nhật các trạng thái nội bộ, cho phép rút tiền đệ quy—dẫn đến khoảng 60 triệu đô la ETH bị đánh cắp. Các lỗ hổng tràn số nguyên/thiếu số nguyên mang lại rủi ro đáng kể khi các phép toán số học vượt quá giới hạn kích thước biến, gây ra hành vi không mong muốn trong hợp đồng.
Lỗi kiểm soát truy cập đại diện cho một mối đe dọa thường trực khác, đứng thứ #1 trong danh sách các lỗ hổng hợp đồng thông minh của OWASP do các hành động quản trị không được phép và khai thác chức năng riêng. Các cuộc tấn công trước khi chạy khai thác bản chất minh bạch của blockchain, nơi các tác nhân độc hại quan sát các giao dịch đang chờ xử lý và chèn giao dịch của riêng họ với phí gas cao hơn để thực hiện trước, thao túng điều kiện thị trường hoặc đánh cắp cơ hội.
Lỗi logic, có lẽ là lỗ hổng cơ bản nhất, phát sinh từ việc triển khai logic kinh doanh sai. Chúng có thể biểu hiện dưới dạng sai sót trong tính toán, chuyển tiếp trạng thái không chính xác, hoặc kiểm tra xác thực không đúng. Hệ quả của những lỗ hổng này rất nghiêm trọng, như được minh chứng trong dữ liệu vi phạm bảo mật sau đây:
| Loại lỗ hổng | Các sự cố đáng chú ý | Mức tổn thất trung bình (USD) | |-------------------|-------------------|-------------------| | Tấn công tái nhập | Cuộc tấn công DAO (2016) | 60,000,000 | | Kiểm Soát Truy Cập | Nhiều cuộc tấn công DeFi | 15,000,000 | | Lỗi Logic | Các giao thức khác nhau | 22,000,000 |
Các kiểm toán bảo mật chuyên nghiệp vẫn là điều cần thiết để xác định những lỗ hổng này trước khi triển khai.
Các sàn giao dịch tập trung nắm giữ quỹ của người dùng vẫn là một yếu tố rủi ro đáng kể
Các sàn giao dịch tiền điện tử tập trung tạo ra một vector rủi ro thường trực trong hệ sinh thái tài sản kỹ thuật số do mô hình lưu ký của chúng. Khi người dùng gửi tiền vào những nền tảng này, họ thực tế đã từ bỏ quyền kiểm soát các khóa riêng của mình, tạo ra một điểm thất bại duy nhất khiến hàng triệu đô la phải đối mặt với các mối đe dọa tiềm tàng. Những vụ vi phạm an ninh gần đây chứng minh sự dễ bị tổn thương này, với các hacker nhắm vào cơ sở hạ tầng của sàn giao dịch thay vì phải xâm phạm từng ()[wallets].
Khung trách nhiệm cho các sàn giao dịch này vẫn chưa đầy đủ ở nhiều khu vực pháp lý, để lại cho người dùng ít biện pháp khắc phục khi sự cố xảy ra. Mặc dù đã có những khoản đầu tư đáng kể vào các biện pháp bảo mật, các sàn giao dịch nắm giữ lượng lớn quỹ của người dùng vẫn tiếp tục thu hút các cuộc tấn công tinh vi, như được chứng minh bởi những vụ vi phạm nổi bật gần đây.
| Yếu tố rủi ro | Tác động | Bằng chứng thực tế | |-------------|--------|---------------------| | Lỗ hổng bảo mật | Thiệt hại tài chính trực tiếp | Nhiều vụ hack sàn giao dịch dẫn đến mất hàng tỷ | | Vấn đề Kiểm Soát Tài Sản | Người dùng mất quyền tự chủ tài sản | Khóa riêng được kiểm soát bởi bên thứ ba | | Sự không chắc chắn về quy định | Bảo vệ người dùng hạn chế | Giám sát khác nhau giữa các khu vực pháp lý |
Mô hình tập trung này về cơ bản mâu thuẫn với giả thuyết cốt lõi của công nghệ blockchain - phân quyền và quyền tự chủ của người dùng. Khi thị trường phát triển, ngày càng nhiều nhà đầu tư đang khám phá các lựa chọn thay thế phi tập trung cung cấp các tùy chọn tự quản, qua đó giảm thiểu các rủi ro tiềm ẩn liên quan đến việc ủy thác quỹ cho các thực thể tập trung có thể gặp phải các thách thức về vận hành, an ninh hoặc thậm chí gian lận.