Báo cáo an ninh ngành công nghiệp Web3 mới nhất của Gate Research cho thấy vào tháng 2, đã xảy ra 15 vụ vi phạm an ninh với tổng thiệt hại là 1,676 tỷ đô la. Các loại vụ vi phạm là đa dạng, việc hack tài khoản và lỗ hổng hợp đồng là mối đe dọa chính, chiếm 58,3% tổng thiệt hại. Báo cáo cung cấp phân tích chi tiết về các vụ vi phạm an ninh chính, bao gồm sự cố mất ví của sàn giao dịch Bybit, thiếu kiểm soát quyền nghiêm ngặt của Infini và lỗ hổng hợp đồng của zkLend. Hack tài khoản và lỗ hổng hợp đồng được xác định là các rủi ro an ninh chính trong tháng này, nhấn mạnh sự cần thiết của ngành công nghiệp liên tục củng cố biện pháp an ninh.

Trừu tượng

• Vào tháng 2 năm 2025, ngành công nghiệp Web3 đã trải qua 15 vụ việc an ninh, dẫn đến tổng thiệt hại là 1,676 tỷ đô la, tăng đáng kể so với tháng trước.
• Các sự cố bảo mật trong tháng này chủ yếu liên quan đến lỗ hổng hợp đồng và hack tài khoản, chiếm 53,3% tổng số lỗ trong ngành công nghiệp tiền điện tử.
• Nhìn vào phân phối của các sự cố về bảo mật trên các chuỗi khác nhau, ba dự án gặp tổn thất trên chuỗi blockchain BSC.
• Các sự cố lớn trong tháng này bao gồm sàn giao dịch Bybit bị mất ví (mất 1,5 tỷ USD), Infini thiếu kiểm soát quyền nghiêm ngặt (mất 50 triệu USD), và ionic đối mặt với một cuộc tấn công kỹ thuật xã hội (mất 12,3 triệu USD).

Tổng quan về Sự cố An ninh

Theo dữ liệu từ SlowMist, tháng 2 năm 2025 ghi nhận 15 vụ vi phạm an ninh với tổn thất $1.676 tỷ. Các cuộc tấn công chủ yếu liên quan đến lỗ hổng hợp đồng, đánh cắp tài khoản và các phương pháp khác. So với tháng 1 năm 2025, tổng số tiền mất tăng gấp 18 lần so với tháng trước. Lỗ hổng hợp đồng và đánh cắp tài khoản là nguyên nhân chính của các cuộc tấn công, với 8 vụ tấn công liên quan đến đánh cắp xảy ra, chiếm 53.3% tổng số. Các tài khoản chính thức X vẫn là mục tiêu chính của các hacker.

Phân phối sự cố an ninh trong các chuỗi khối công cộng tháng này cho thấy rằng ba dự án—BankX, Cashverse và Four.Meme—đều nằm trong hệ sinh thái BSC, với tổng số lỗ hơn 330.000 đô la. Chuỗi sự cố này cho thấy rằng an ninh của các dự án trong hệ sinh thái chuỗi công cộng cần được củng cố ngay lập tức. Đối mặt với các cuộc tấn công và lỗ hổng thường xuyên, BSC cần đặc biệt chú trọng đến việc kiểm tra hợp đồng thông minh, cơ chế kiểm soát rủi ro và biện pháp giám sát trên chuỗi để nâng cao tiêu chuẩn an ninh tổng thể.

Vài dự án blockchain đã gặp sự cố bảo mật lớn trong tháng này, dẫn đến tổn thất tài chính đáng kể. Các sự cố đáng chú ý bao gồm vụ ăn cắp ví của sàn giao dịch Bybit (thiệt hại 1,5 tỷ USD), việc thiếu kiểm soát quyền hạn nghiêm ngặt của Infini (thiệt hại 50 triệu USD) và lỗ hổng hợp đồng của zkLend (thiệt hại 9,6 triệu USD).

Các Sự Kiện An Ninh Lớn Tron Tháng Hai

Theo các thông báo chính thức, các dự án sau đã gánh chịu tổn thất vượt quá 1,56 tỷ đô la vào tháng Hai. Thiếu kiểm soát phép lý nghiêm ngặt và mất ví là hai mối đe dọa chính.

• Bybit trải qua việc rút vốn 1,5 tỷ đô la, có tin đồn là do nhóm hacker Triều Tiên Lazarus Group can thiệp vào mã nguồn mặt trước của Safe{Wallet} và làm giả giao diện chữ ký, phá vỡ cơ chế đa chữ ký của Bybit để kiểm soát ví lạnh Ethereum của họ.
• Infini đã mất 50 triệu đô la do thiếu kiểm soát quyền hạn nghiêm ngặt. Các kẻ tấn công đã thành công trong việc lấy được ví tiền điện tử với đặc quyền quản trị và sử dụng những quyền này để thực hiện các hoạt động trái phép.
• Ionic đã mất $12.3 triệu khi kẻ tấn công triển khai hợp đồng token Lombard BTC (LBTC) giả mạo và sử dụng chúng làm tài sản thế chấp để vay mượn các tài sản khác trên nền tảng Ionic.

Bybit

Tổng quan dự án:
Bybit, thành lập vào tháng 3 năm 2018, là một sàn giao dịch tiền điện tử hàng đầu. Nổi tiếng với công nghệ đổi mới và trải nghiệm giao dịch xuất sắc, Bybit cam kết trở thành sàn giao dịch đáng tin cậy nhất trên thị trường tài sản kỹ thuật số mới nổi.

Tổng quan về sự cố:
Vào ngày 21 tháng 2, Bybit đã mất 499.000 ETH (khoảng 1,5 tỷ USD) do bị đánh cắp ví, đánh dấu vụ trộm lớn nhất trong lịch sử ngành công nghiệp tiền điện tử. Cuộc điều tra cho thấy vụ tấn công có khả năng do nhóm hacker Bắc Triều Tiên Lazarus Group thực hiện. Phương pháp chính của họ liên quan đến làm giả mã nguồn frontend của Safe{Wallet} và làm giả giao diện chữ ký, phá vỡ cơ chế đa chữ ký của Bybit để cuối cùng kiểm soát ví lạnh Ethereum của họ và chuyển khoản số tiền đáng kể đến các địa chỉ không rõ danh tính.

Theo phân tích của nhóm an ninh SlowMist, các hacker đã triển khai hợp đồng độc hại đầu tiên, sau đó xâm nhập vào máy chủ Safe{Ví} , làm thay đổi mã nguồn frontend và thay thế các tệp JavaScript. Điều này đã khiến người dùng ký các giao dịch mà họ không biết rằng chứa logic độc hại được nhúng trong quá trình xây dựng giao dịch. Thông qua kỹ thuật tinh vi này, các tấn công đã thành công lừa qua cơ chế xác minh chữ ký đa bên của Bybit và hoàn tất việc ăn cắp.

Khuyến nghị sau sự cố:

• Nâng cấp kiến trúc bảo mật ví đa chữ ký: Nâng cấp hợp đồng Safe lên phiên bản 1.3.0 hoặc cao hơn, kích hoạt cơ chế Guard để hạn chế nghiêm ngặt quyền giao dịch; triển khai ví lạnh ví đa chữ ký + MPC + HSM để lưu trữ hơn 90% tài sản, điều chỉnh động giới hạn ví nóng, và kết hợp phân mảnh với lưu trữ khóa phân tán theo địa lý để ngăn chặn điểm thất bại duy nhất gây thiệt hại toàn cầu.
• Nâng cao bảo mật tài khoản để ngăn chặn truy cập trái phép: Bật xác thực hai yếu tố (2FA), triển khai danh sách địa chỉ trắng, và tích hợp theo dõi hành vi giao dịch trí tuệ nhân tạo để ngăn chặn việc truy cập tài khoản trái phép bởi hacker.
• Thúc đẩy các liên minh an ninh ngành công nghiệp: Thiết lập cơ sở dữ liệu tình báo tấn công của hacker và thúc đẩy các liên minh an ninh giữa các sàn giao dịch, các công ty phân tích on-chain và các nền tảng DeFi để tạo ra cơ chế phản ứng nhanh chóng và giảm thiểu các tuyến thoát của hacker.

Infini

Tổng quan dự án:
Infini là một loại ngân hàng stablecoin mới tập trung vào tiền điện tử. Công ty sử dụng hợp đồng thông minh và công nghệ blockchain để cung cấp dịch vụ tài chính phi tập trung cho người dùng, hỗ trợ tính năng như tiền gửi, khoản vay và thanh toán.

Tổng quan về sự cố:
Vào ngày 24 tháng 2, do thiếu kiểm soát quyền hạn chặt chẽ, kẻ tấn công đã thành công trong việc lấy được ví tiền có đặc quyền quản trị và sử dụng quyền này để thực hiện các hoạt động không được ủy quyền, đánh cắp gần $50 triệu tiền. Các điểm yếu chính là do thiếu quản lý quyền hạn chặt chẽ của hợp đồng thông minh - điều này cho phép kẻ tấn công trực tiếp kiểm soát các hoạt động quan trọng - và tài khoản quản trị không thực hiện đủ biện pháp đa chữ ký hoặc cách ly quyền hạn đủ. Điều này có nghĩa là một khi một ví tiền bị xâm nhập, toàn bộ hệ thống có thể bị kiểm soát.

Khuyến nghị sau sự cố:

• Tăng cường quản lý quyền: Thực hiện các yêu cầu đa chữ ký để đảm bảo rằng các giao dịch chính yêu cầu nhiều khóa riêng để phê duyệt, thay vì được kiểm soát bởi một tài khoản quản trị viên duy nhất.
• Nâng cao cơ chế bảo mật: Nâng cấp an ninh hợp đồng thông minh và sử dụng cơ chế quản trị phi tập trung để giảm sự phụ thuộc vào tài khoản quản trị viên đơn lẻ.
• Kiểm định mã và hệ thống giám sát thời gian thực: Hợp tác với các công ty bảo mật blockchain chuyên nghiệp (như CertiK, SlowMist) để tiến hành kiểm định toàn diện về các hợp đồng thông minh và giám sát các hoạt động quỹ bất thường, với việc đóng băng quỹ tự động khi có các hoạt động đáng ngờ xảy ra.

ionic

Tổng quan dự án:
ionic là một giao thức cho vay dựa trên hệ sinh thái Mode, cung cấp các thị trường thanh khoản không cần phép cho phép người dùng vay bằng cách sử dụng các tài sản khác nhau làm tài sản thế chấp. Tận dụng các khoản phí thấp và tính năng có thể mở rộng của Mode, nó đã thu hút rất nhiều người dùng DeFi.

Tổng quan về sự cố:
Vào ngày 5 tháng 2, Ionic đã bị một cuộc tấn công kỹ thuật xã hội, dẫn đến thiệt hại khoảng 8,8 triệu đô la. Những kẻ tấn công đã triển khai các hợp đồng mã thông báo Lombard BTC (LBTC) giả mạo và sử dụng chúng làm tài sản thế chấp để vay các tài sản khác nhau trên nền tảng ion, bao gồm MBTC, uniBTC, wrsETH, WETH và STONE. Bắt đầu với số tiền ban đầu chỉ 0,01 ETH, những kẻ tấn công đã có được bất hợp pháp tài sản đáng kể thông qua phương pháp này và rửa chúng thông qua Tornado Cash. [5]

Khuyến nghị sau sự cố:

• Tăng cường xác minh tài sản thế chấp: Triển khai chứng nhận tài sản trên chuỗi cho tất cả các tài sản thế chấp phi chính thống, lọc các token tiềm năng gian lận thông qua cơ chế trò chuyện và điểm đánh giá uy tín.
• Thêm cơ chế whitelist vào các hợp đồng thông minh: Hạn chế tài sản thế chấp chỉ cho các tài sản được phê duyệt chính thức, và áp dụng điểm số rủi ro động để ngăn chặn các hợp đồng độc hại làm giả tài sản thế chấp.
• Hệ thống giám sát và cảnh báo thời gian thực: Thiết lập cơ chế giám sát thời gian thực để phát hiện và phản ứng kịp thời với các hoạt động bất thường.

Tóm tắt

Vào tháng 2 năm 2025, nhiều nền tảng DeFi và CeFi đối mặt với cuộc tấn công lỗ hổng bảo mật, dẫn đến hàng trăm triệu đô la mất mát tài sản. Những sự cố này bao gồm cuộc tấn công hack sàn giao dịch Bybit, thiếu kiểm soát quyền nghiêm ngặt của Infini và ionic trở thành nạn nhân của một cuộc tấn công kỹ thuật xã hội. Những sự kiện này đã phơi bày các rủi ro quan trọng trong các nền tảng tiền điện tử liên quan đến bảo mật, kiểm tra mã hợp đồng thông minh và quản lý rủi ro. Ngành công nghiệp cần gấp rút tăng cường kiểm tra mã hợp đồng thông minh, triển khai theo dõi thời gian thực và giới thiệu cơ chế bảo vệ đa lớp để nâng cao bảo mật nền tảng và niềm tin người dùng. Gate.io nhắc nhở người dùng duy trì sự cảnh giác và thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ quỹ của họ.


Tham khảo:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. X,https://x.com/benbybit/status/1894768736084885929
3. Sương mù chậm,https://slowmist.medium.com/slowmist-hacker-techniques-and-questions-behind-bybits-nearly-1-5-billion-theft-09f0b59da2e2
4. X,https://x.com/0xinfini/status/1893973307596435871
5. X,https://x.com/wublockchain12/status/1886953752973992438

Nghiên cứu Gate
Nghiên cứu cổng là một nền tảng nghiên cứu blockchain và tiền điện tử toàn diện mang đến nội dung sâu rộng. Điều này bao gồm phân tích kỹ thuật, cái nhìn về chủ đề nóng, đánh giá thị trường, nghiên cứu ngành, dự báo xu hướng, và phân tích chính sách kinh tế vĩ mô.

Click ở đâyđể thăm bây giờ

Miễn trách nhiệm
Đầu tư vào thị trường tiền điện tử có rủi ro cao, và khuyến nghị người dùng nên tiến hành nghiên cứu độc lập và hiểu rõ bản chất của tài sản và sản phẩm mình đang mua trước khi đưa ra bất kỳ quyết định đầu tư nào. Gate.io không chịu trách nhiệm về bất kỳ tổn thất hoặc thiệt hại nào do các quyết định đầu tư đó gây ra.