Hỗn loạn Web3 tấn công mạnh mẽ: Hàng triệu bị rút cạn chỉ trong hai tuần đầu năm 2026 – Báo cáo

Extropy báo cáo các vụ tấn công tiền mã hóa lớn vào tháng 1 năm 2026. Truebit mất 26 triệu USD, vi phạm dữ liệu Ledger làm lộ thông tin người dùng và các cuộc tấn công giả mạo gia tăng.

Hai tuần đầu tiên của năm 2026 mang đến một làn sóng sự cố bảo mật trên các nền tảng Web3. 

Extropy đã công bố báo cáo Security Bytes ghi lại các sự kiện này. Những phát hiện cho thấy một bức tranh đáng lo ngại về bối cảnh mối đe dọa hiện tại.

Theo báo cáo, những kẻ tấn công đã tiếp tục hoạt động trong suốt mùa lễ. Thiệt hại dao động từ các vụ khai thác hàng triệu đô la đến các chiến dịch giả mạo tinh vi.

Truebit Protocol Mất 26 Triệu USD Do Lỗi Mã Legacy

Sự cố lớn đầu tiên trong năm xảy ra với Truebit Protocol vào ngày 8 tháng 1. Một kẻ tấn công đã rút khoảng 26 triệu USD trong cái mà Extropy gọi là lỗi khai thác "mã zombie".

Lỗ hổng bắt nguồn từ tràn số nguyên trong các hợp đồng thông minh cũ. Những hợp đồng cũ này thiếu khả năng bảo vệ tràn số gốc của Solidity hiện đại. Kẻ tấn công đã tạo ra hàng triệu token TRU mà hầu như không tốn chi phí.

Sau khi được tạo ra, các token tràn ngược vào giao thức. Toàn bộ thanh khoản khả dụng biến mất trong vài giờ. Giá token TRU sụp đổ gần 100% chỉ trong 24 giờ.

Extropy lưu ý rằng kẻ tấn công đã chuyển 8,535 ETH qua Tornado Cash ngay lập tức. Các công ty bảo mật sau đó đã liên kết ví với một vụ khai thác Sparkle Protocol trước đó. Điều này cho thấy một kẻ tái phạm đặc biệt nhắm vào các hợp đồng bị bỏ hoang.

Báo cáo cảnh báo rằng các hợp đồng cũ vẫn là một lỗ hổng nghiêm trọng. Các dự án phải chủ động giám sát hoặc ngừng sử dụng mã cũ.

TMXTribe Chứng Kiến 1,4 Triệu USD Bị Rút Trong 36 Giờ

Từ ngày 5 đến ngày 7 tháng 1, TMXTribe đã gặp phải một cuộc tấn công chậm hơn nhưng cũng tàn phá không kém. Nhánh GMX trên Arbitrum đã mất 1,4 triệu USD trong 36 giờ liên tục.

Extropy mô tả việc khai thác là đơn giản về mặt kỹ thuật. Một vòng lặp tạo token LP, hoán đổi chúng lấy stablecoin, sau đó rút stake liên tục. Các hợp đồng chưa được xác minh đã ngăn chặn việc phân tích công khai về lỗi chính xác.

Điều làm các nhà nghiên cứu lo ngại nhất là phản ứng của nhóm. Theo báo cáo, các nhà phát triển vẫn hoạt động trên chuỗi trong suốt cuộc tấn công. Họ đã triển khai các hợp đồng mới và thực hiện nâng cấp trong quá trình rút tiền.

Tuy nhiên, họ không bao giờ kích hoạt chức năng tạm dừng khẩn cấp. Thay vào đó, nhóm đã gửi tin nhắn tiền thưởng trên chuỗi cho kẻ tấn công. Tên trộm đã bỏ qua nó, chuyển tiền sang Ethereum và rửa chúng qua Tornado Cash.

Extropy đặt câu hỏi liệu điều này có phải là sơ suất hay điều gì đó tồi tệ hơn. Báo cáo nhấn mạnh rằng các hợp đồng chưa được xác minh là cờ đỏ đối với người dùng.

Khách Hàng Ledger Đối Mặt Với Rủi Ro Bảo Mật Vật Lý

Vào ngày 5 tháng 1, Ledger xác nhận vi phạm dữ liệu ảnh hưởng đến cơ sở khách hàng của mình. Vi phạm bắt nguồn từ bộ xử lý thanh toán Global-e, không phải phần cứng của Ledger.

Tên khách hàng, địa chỉ giao hàng và thông tin liên hệ đã bị xâm phạm. Extropy cảnh báo điều này tạo ra những tình huống mà các chuyên gia bảo mật gọi là "wrench attack". Kẻ tấn công hiện sở hữu danh sách chủ sở hữu ví phần cứng tiền mã hóa và vị trí của họ.

Báo cáo ghi nhận một sự mỉa mai cay đắng. Ledger trước đây đã phải đối mặt với chỉ trích vì tính phí cho các tính năng bảo mật. Giờ đây, bộ xử lý thanh toán của họ đã khiến người dùng gặp nguy hiểm về mặt vật lý mà không tốn phí.

Extropy khuyên người dùng nên dự đoán các nỗ lực giả mạo tinh vi. Dữ liệu bị đánh cắp cho phép kẻ tấn công thiết lập lòng tin sai lầm thông qua các liên lạc được cá nhân hóa.

Bài Đọc Liên Quan: Tổng Hợp Các Sự Cố Bảo Mật Xung Quanh Ví Phần Cứng Ledger

Chiến Dịch Giả Mạo MetaMask Rút 107,000 USD

Nhà nghiên cứu bảo mật ZachXBT đã đánh dấu một hoạt động giả mạo tinh vi nhắm vào người dùng MetaMask. Chiến dịch đã rút hơn 107,000 USD từ hàng trăm ví.

Nạn nhân nhận được email chuyên nghiệp tuyên bố nâng cấp bắt buộc năm 2026. Các tin nhắn sử dụng các mẫu tiếp thị hợp pháp và có logo MetaMask đã được sửa đổi. Extropy mô tả thiết kế con cáo "mũ tiệc" như một thiết kế lễ hội gây mất cảnh giác.

Trò lừa đảo tránh yêu cầu cụm từ khôi phục. Thay vào đó, nó nhắc người dùng ký phê duyệt hợp đồng. Điều này cho phép kẻ tấn công di chuyển token không giới hạn từ ví nạn nhân.

Bằng cách giữ các vụ trộm cá nhân dưới 2,000 USD, hoạt động đã tránh được các cảnh báo lớn. Extropy nhấn mạnh rằng chữ ký có thể nguy hiểm như khóa bị rò rỉ.

Bài viết Web3 Chaos Hits Hard: Millions Drained in Just Two Weeks of 2026 – Report xuất hiện đầu tiên trên Live Bitcoin News.