Công ty phân tích blockchain Chainalysis vào ngày 9 tháng 6 đã công bố báo cáo, ghi nhận trong giai đoạn từ tháng 1 đến tháng 5 có ít nhất 36,7 triệu USD bị đánh cắp từ các giao thức mà mã nguồn gốc chưa từng được xác minh công khai trên trình duyệt blockchain; gồm 4 vụ tấn công, 5 giao thức; trong mọi trường hợp, kẻ tấn công đều tìm ra lỗ hổng bằng cách giải mã bytecode gốc (không phải đọc mã nguồn công khai).
4 trường hợp tấn công: số tiền thiệt hại, ngày xảy ra và loại lỗ hổng đã được xác nhận
Theo báo cáo của Chainalysis, số liệu xác nhận của 5 giao thức bị tấn công như sau:
Truebit: 26,2 triệu USD, ngày 8 tháng 1 năm 2026, trên Ethereum; tràn số nguyên trong hàm getPurchasePrice() (Solidity v0,5.3, phiên bản này thiếu cơ chế tự bảo vệ tràn)
Trusted Volumes: 5,9 triệu USD, ngày 7 tháng 5 năm 2026, trên Ethereum; lỗ hổng kiểm soát truy cập trong trình xử lý lệnh RFQ
Aperture Finance: 3,2 triệu USD, ngày 25 tháng 1 năm 2026, trên Ethereum; vượt qua kiểm tra đầu vào thông qua transferFrom
(Nguồn: Chainalysis)
Ekubo: 1,4 triệu USD, ngày 5 tháng 5 năm 2026, trên Ethereum; logic hoàn tiền không xác thực danh tính người thanh toán
Chainalysis xác nhận rằng, vào thời điểm xảy ra tấn công, các hợp đồng liên quan của mọi giao thức nêu trên đều không được xác minh trên Etherscan hoặc các trình duyệt blockchain khác, và cũng không có mã nguồn gốc công khai liên quan.
Chi tiết vụ Truebit: hợp đồng được triển khai từ năm 2021, dữ liệu on-chain cho thấy hành vi tấn công mang tính hệ thống
Phân tích biểu đồ Reactor của Chainalysis cho thấy, địa chỉ kẻ tấn công (vụ Truebit ngày 8 tháng 1 năm 2026, thiệt hại 26,2 triệu USD) trước đó đã đánh cắp 5 ETH từ giao thức Sparkle cách đó 12 ngày.
Báo cáo xác nhận rằng địa chỉ này có hành vi tìm kiếm lỗ hổng một cách có hệ thống trong cả các hợp đồng đã được xác minh và chưa được xác minh, từ các mục tiêu nhỏ ban đầu dần nâng cấp lên vụ tấn công quy mô lớn cuối cùng; toàn bộ số tiền thu được từ hai vụ tấn công đều được rửa thông qua Tornado Cash. Hợp đồng bị tấn công của Truebit được triển khai trên Ethereum từ năm 2021 và chưa từng được xác minh mã nguồn trên Etherscan.
3 lỗ hổng bảo mật trong hợp đồng chưa được xác minh: cơ chế phòng vệ thất bại được Chainalysis xác nhận
Báo cáo của Chainalysis xác nhận rằng, khi giao thức chọn triển khai theo hướng đóng mã nguồn, thì 3 lớp an toàn truyền thống sau đây sẽ đồng thời mất tác dụng:
Phản biện của nhà nghiên cứu mũ trắng thất bại: Không có mã nguồn đọc được công khai nên các nhà nghiên cứu bảo mật không thể nhận diện và báo cáo lỗ hổng
Loại trừ khỏi kế hoạch thưởng lỗ hổng: Các hợp đồng chưa được xác minh thường bị loại trừ rõ ràng khỏi các chương trình thưởng lỗ hổng phổ biến
Cơ chế báo cáo dựa trên cộng đồng thất bại: Môi trường kiểm toán công khai không có mã nguồn khiến cộng đồng không thể chủ động nhận diện vấn đề an ninh
Chainalysis báo cáo xác nhận rằng, đối với các giao thức triển khai hợp đồng chưa được xác minh, giám sát on-chain theo thời gian thực hiện là biện pháp phòng vệ duy nhất có thể thay thế các cơ chế phòng vệ bị vô hiệu do đóng mã nguồn.
Câu hỏi thường gặp
Sự khác biệt cốt lõi về bảo mật giữa hợp đồng thông minh chưa được xác minh và đã được xác minh là gì?
Mã nguồn của hợp đồng đã được xác minh có thể được đọc công khai trên các trình duyệt blockchain như Etherscan, giúp các nhà nghiên cứu bảo mật có thể nhận diện lỗ hổng trực tiếp và gửi báo cáo. Hợp đồng chưa được xác minh chỉ công khai bytecode đã biên dịch; các nhà nghiên cứu bảo mật và cả kẻ tấn công đều cần dùng công cụ giải mã để tiến hành tái hiện ngược, và các hợp đồng chưa được xác minh thường bị loại trừ khỏi các chương trình thưởng lỗ hổng phổ biến.
36,7 triệu USD mà Chainalysis ghi nhận được so sánh thế nào với tình trạng bị đánh cắp trên toàn bộ DeFi?
Theo báo cáo của Chainalysis, 36,7 triệu USD là một danh mục con độc lập trong số 10 tỷ USD tổng thiệt hại do 88 giao thức DeFi bị ghi nhận trong cùng kỳ của DeFiLlama. Phần lớn các giao thức bị tấn công được DeFiLlama ghi nhận đều có hợp đồng thông minh đã được xác minh; các cuộc tấn công vào hợp đồng chưa được xác minh tạo thành một kiểu tấn công riêng biệt, không nên so sánh trực tiếp với các thống kê an ninh DeFi rộng hơn.
Chainalysis có khuyến nghị bảo mật cụ thể gì cho các giao thức dùng hợp đồng chưa được xác minh?
Khuyến nghị cụ thể duy nhất mà báo cáo Chainalysis xác nhận là triển khai giám sát on-chain theo thời gian thực để thay thế chức năng bị vô hiệu của hệ sinh thái an toàn truyền thống đối với hợp đồng chưa được xác minh. Báo cáo không đưa ra đề xuất cụ thể cho công cụ giám sát, tiêu chuẩn triển khai hoặc khuyến nghị về thời gian.
