Cuộc tấn công DAO: 60 triệu đô la bị mất do lỗ hổng gọi đệ quy
Vào năm 2016, thế giới tiền điện tử đã trải qua một trong những vụ vi phạm bảo mật nghiêm trọng nhất khi The DAO, một tổ chức tự trị phi tập trung, đã bị tấn công nghiêm trọng dẫn đến việc khoảng 60 triệu đô la Ether bị đánh cắp. Cuộc tấn công đã khai thác một lỗ hổng nghiêm trọng trong mã của hợp đồng thông minh—cụ thể là lỗ hổng gọi đệ quy cho phép hacker rút tiền nhiều lần trước khi hệ thống có thể cập nhật đúng số dư tài khoản.
Cuộc tấn công đã làm nổi bật những sai sót cơ bản trong ngôn ngữ lập trình Solidity được sử dụng cho các hợp đồng thông minh Ethereum. Theo các chuyên gia bảo mật, phương pháp của hacker liên quan đến việc tạo ra một giao dịch tự động lặp lại nhiều lần trước khi hệ thống thực hiện kiểm tra số dư, hiệu quả là rút tiền trong mỗi lần lặp.
Tác động của vụ vi phạm bảo mật này đã lan rộng vượt ra ngoài tổn thất tài chính ngay lập tức:
| Khu vực ảnh hưởng | Hệ quả |
|-------------|-------------|
| Giá Ethereum | Giá giảm mạnh sau vụ hack |
| Niềm Tin Cộng Đồng | Đã nêu ra những mối quan ngại nghiêm trọng về bảo mật smart contract |
| Phản hồi kỹ thuật | Dẫn đến một hard fork Ethereum để phục hồi quỹ |
| Di sản ngành | Trở thành một thời điểm bước ngoặt cho an ninh blockchain |
Sự cố này đã thay đổi cơ bản cách các nhà phát triển tiếp cận bảo mật hợp đồng thông minh, nhấn mạnh tầm quan trọng của việc kiểm tra mã kỹ lưỡng và kiểm tra lỗ hổng. Cuộc tấn công DAO vẫn là một nghiên cứu trường hợp mạnh mẽ cho thấy rằng trong khi các hệ thống dựa trên mã nhằm loại bỏ lỗi con người, chúng vẫn dễ bị mắc phải các lỗi thiết kế và sự sơ suất.
Ví Parity bị đóng băng: $300 triệu bị khóa mãi mãi bởi một nhà phát triển mới vào nghề
Trong một trong những sai lầm tốn kém nhất của tiền điện tử, một người dùng GitHub được biết đến với tên "devops199" đã vô tình kích hoạt một lỗ hổng trong ví đa chữ ký của Parity, làm đông lạnh vĩnh viễn khoảng 300 triệu đô la Ethereum. Sự kiện thảm khốc này xảy ra vào tháng 11 năm 2017 khi nhà phát triển vô tình xóa mã quan trọng trong thư viện Parity wallet, khiến hơn 500 ví đa chữ ký hoàn toàn không thể truy cập.
Thảm họa kỹ thuật đã làm lộ ra những lỗ hổng đáng kể trong kiến trúc hợp đồng thông minh và các giao thức bảo mật. Parity Technologies đã được cảnh báo trước về những vấn đề tiềm ẩn trong hệ thống của họ sau một vụ hack vào tháng 7 năm 2017, dẫn đến 32 triệu đô la bị đánh cắp.
| Sự cố Ví Parity | Ngày | Tác động tài chính |
|------------------------|------|-----------------|
| Cuộc tấn công ban đầu | Tháng 7 năm 2017 | $32 triệu bị đánh cắp |
| Sự cố xóa mã | Tháng 11 năm 2017 | $300 triệu bị đóng băng |
Sự cố đã làm nổi bật những rủi ro phi thường tiềm ẩn trong phát triển blockchain, nơi mà những lỗi lập trình đơn giản có thể gây ra hậu quả tài chính không thể khắc phục. Người sáng lập Ethereum, Vitalik Buterin, dường như đã từ chối việc thực hiện giải pháp hard fork để khôi phục lại quỹ, khẳng định sự không thể tiếp cận vĩnh viễn của chúng. Trường hợp này chứng tỏ tầm quan trọng quyết định của việc kiểm tra và đánh giá bảo mật kỹ lưỡng trong phát triển hợp đồng thông minh trước khi triển khai trên các blockchain công khai.
Các vụ hack sàn giao dịch tập trung: Hơn 2 tỷ đô la đã bị đánh cắp từ các nền tảng lưu ký kể từ năm 2018
Cảnh quan tiền điện tử đã bị xâm phạm an ninh kể từ năm 2018, với các sàn giao dịch tập trung đặc biệt dễ bị tấn công tinh vi. Theo dữ liệu gần đây, hơn 2 tỷ đô la đã bị đánh cắp từ các nền tảng lưu ký nơi người dùng tin tưởng tài sản kỹ thuật số của họ cho quản lý bên thứ ba. Xu hướng đáng lo ngại này tiếp tục vào năm 2024, với tổng thiệt hại đạt 2,2 tỷ đô la, tương ứng với mức tăng 21% so với năm trước.
| Năm | Tổng số tiền ảo bị đánh cắp | Thông tin nổi bật |
|------|-------------------|---------------------|
| 2024 | 2.2 tỷ đô la | Vụ trộm lớn nhất: 305 triệu (DMM Bitcoin) |
| 2023 | 1.7 tỷ đô la | Giảm đáng kể so với năm 2022 |
| 2022 | 3.8 tỷ USD | Năm đỉnh điểm cho các vụ trộm tiền mã hóa |
| 2025 (H1) | 2,17 tỷ đô la | Tin tặc Bắc Triều Tiên chịu trách nhiệm cho phần lớn |
Cuộc tấn công vào Bybit vào tháng 2 năm 2025 minh hoạ mức độ nghiêm trọng của những lỗ hổng bảo mật này, với việc tin tặc được cho là đã đánh cắp khoảng 2,4 tỷ USD trong một vụ trộm tiền điện tử có thể là lớn nhất trong lịch sử. Các nhà nghiên cứu bảo mật đã liên kết nhiều cuộc tấn công lớn với các nhóm tin tặc Bắc Triều Tiên như Lazarus, những người sử dụng các kỹ thuật tinh vi để rửa tiền bị đánh cắp thông qua nhiều ví và sàn giao dịch phi tập trung. Mối đe dọa liên tục này nhấn mạnh tầm quan trọng sống còn của các biện pháp bảo mật mạnh mẽ cho các sàn giao dịch tập trung đóng vai trò là người giữ tài sản của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Những lỗ hổng Hợp đồng thông minh thảm khốc nhất trong lịch sử Tiền điện tử là gì?
Cuộc tấn công DAO: 60 triệu đô la bị mất do lỗ hổng gọi đệ quy
Vào năm 2016, thế giới tiền điện tử đã trải qua một trong những vụ vi phạm bảo mật nghiêm trọng nhất khi The DAO, một tổ chức tự trị phi tập trung, đã bị tấn công nghiêm trọng dẫn đến việc khoảng 60 triệu đô la Ether bị đánh cắp. Cuộc tấn công đã khai thác một lỗ hổng nghiêm trọng trong mã của hợp đồng thông minh—cụ thể là lỗ hổng gọi đệ quy cho phép hacker rút tiền nhiều lần trước khi hệ thống có thể cập nhật đúng số dư tài khoản.
Cuộc tấn công đã làm nổi bật những sai sót cơ bản trong ngôn ngữ lập trình Solidity được sử dụng cho các hợp đồng thông minh Ethereum. Theo các chuyên gia bảo mật, phương pháp của hacker liên quan đến việc tạo ra một giao dịch tự động lặp lại nhiều lần trước khi hệ thống thực hiện kiểm tra số dư, hiệu quả là rút tiền trong mỗi lần lặp.
Tác động của vụ vi phạm bảo mật này đã lan rộng vượt ra ngoài tổn thất tài chính ngay lập tức:
| Khu vực ảnh hưởng | Hệ quả | |-------------|-------------| | Giá Ethereum | Giá giảm mạnh sau vụ hack | | Niềm Tin Cộng Đồng | Đã nêu ra những mối quan ngại nghiêm trọng về bảo mật smart contract | | Phản hồi kỹ thuật | Dẫn đến một hard fork Ethereum để phục hồi quỹ | | Di sản ngành | Trở thành một thời điểm bước ngoặt cho an ninh blockchain |
Sự cố này đã thay đổi cơ bản cách các nhà phát triển tiếp cận bảo mật hợp đồng thông minh, nhấn mạnh tầm quan trọng của việc kiểm tra mã kỹ lưỡng và kiểm tra lỗ hổng. Cuộc tấn công DAO vẫn là một nghiên cứu trường hợp mạnh mẽ cho thấy rằng trong khi các hệ thống dựa trên mã nhằm loại bỏ lỗi con người, chúng vẫn dễ bị mắc phải các lỗi thiết kế và sự sơ suất.
Ví Parity bị đóng băng: $300 triệu bị khóa mãi mãi bởi một nhà phát triển mới vào nghề
Trong một trong những sai lầm tốn kém nhất của tiền điện tử, một người dùng GitHub được biết đến với tên "devops199" đã vô tình kích hoạt một lỗ hổng trong ví đa chữ ký của Parity, làm đông lạnh vĩnh viễn khoảng 300 triệu đô la Ethereum. Sự kiện thảm khốc này xảy ra vào tháng 11 năm 2017 khi nhà phát triển vô tình xóa mã quan trọng trong thư viện Parity wallet, khiến hơn 500 ví đa chữ ký hoàn toàn không thể truy cập.
Thảm họa kỹ thuật đã làm lộ ra những lỗ hổng đáng kể trong kiến trúc hợp đồng thông minh và các giao thức bảo mật. Parity Technologies đã được cảnh báo trước về những vấn đề tiềm ẩn trong hệ thống của họ sau một vụ hack vào tháng 7 năm 2017, dẫn đến 32 triệu đô la bị đánh cắp.
| Sự cố Ví Parity | Ngày | Tác động tài chính | |------------------------|------|-----------------| | Cuộc tấn công ban đầu | Tháng 7 năm 2017 | $32 triệu bị đánh cắp | | Sự cố xóa mã | Tháng 11 năm 2017 | $300 triệu bị đóng băng |
Sự cố đã làm nổi bật những rủi ro phi thường tiềm ẩn trong phát triển blockchain, nơi mà những lỗi lập trình đơn giản có thể gây ra hậu quả tài chính không thể khắc phục. Người sáng lập Ethereum, Vitalik Buterin, dường như đã từ chối việc thực hiện giải pháp hard fork để khôi phục lại quỹ, khẳng định sự không thể tiếp cận vĩnh viễn của chúng. Trường hợp này chứng tỏ tầm quan trọng quyết định của việc kiểm tra và đánh giá bảo mật kỹ lưỡng trong phát triển hợp đồng thông minh trước khi triển khai trên các blockchain công khai.
Các vụ hack sàn giao dịch tập trung: Hơn 2 tỷ đô la đã bị đánh cắp từ các nền tảng lưu ký kể từ năm 2018
Cảnh quan tiền điện tử đã bị xâm phạm an ninh kể từ năm 2018, với các sàn giao dịch tập trung đặc biệt dễ bị tấn công tinh vi. Theo dữ liệu gần đây, hơn 2 tỷ đô la đã bị đánh cắp từ các nền tảng lưu ký nơi người dùng tin tưởng tài sản kỹ thuật số của họ cho quản lý bên thứ ba. Xu hướng đáng lo ngại này tiếp tục vào năm 2024, với tổng thiệt hại đạt 2,2 tỷ đô la, tương ứng với mức tăng 21% so với năm trước.
| Năm | Tổng số tiền ảo bị đánh cắp | Thông tin nổi bật | |------|-------------------|---------------------| | 2024 | 2.2 tỷ đô la | Vụ trộm lớn nhất: 305 triệu (DMM Bitcoin) | | 2023 | 1.7 tỷ đô la | Giảm đáng kể so với năm 2022 | | 2022 | 3.8 tỷ USD | Năm đỉnh điểm cho các vụ trộm tiền mã hóa | | 2025 (H1) | 2,17 tỷ đô la | Tin tặc Bắc Triều Tiên chịu trách nhiệm cho phần lớn |
Cuộc tấn công vào Bybit vào tháng 2 năm 2025 minh hoạ mức độ nghiêm trọng của những lỗ hổng bảo mật này, với việc tin tặc được cho là đã đánh cắp khoảng 2,4 tỷ USD trong một vụ trộm tiền điện tử có thể là lớn nhất trong lịch sử. Các nhà nghiên cứu bảo mật đã liên kết nhiều cuộc tấn công lớn với các nhóm tin tặc Bắc Triều Tiên như Lazarus, những người sử dụng các kỹ thuật tinh vi để rửa tiền bị đánh cắp thông qua nhiều ví và sàn giao dịch phi tập trung. Mối đe dọa liên tục này nhấn mạnh tầm quan trọng sống còn của các biện pháp bảo mật mạnh mẽ cho các sàn giao dịch tập trung đóng vai trò là người giữ tài sản của người dùng.