Extropy báo cáo các vụ hack lớn trong lĩnh vực tiền điện tử vào tháng 1 năm 2026. Truebit mất 26 triệu đô la, vụ rò rỉ dữ liệu Ledger tiết lộ thông tin người dùng, và các cuộc tấn công lừa đảo tăng vọt.
Hai tuần đầu tiên của năm 2026 đã chứng kiến làn sóng các sự cố an ninh trên các nền tảng Web3.
Extropy đã công bố báo cáo Security Bytes ghi lại các sự kiện này. Các phát hiện mô tả một bức tranh đáng lo ngại về cảnh quan mối đe dọa hiện tại.
Theo báo cáo, các hacker tiếp tục hoạt động trong suốt kỳ nghỉ lễ. Thiệt hại dao động từ các vụ khai thác trị giá hàng triệu đô la đến các chiến dịch lừa đảo tinh vi.
Truebit Protocol Mất $26 Triệu Đô La Do Lỗi Trong Mã Cũ
Sự cố lớn đầu tiên của năm xảy ra vào ngày 8 tháng 1 tại Truebit Protocol. Một hacker đã rút khoảng $26 triệu đô la trong vụ khai thác mà Extropy gọi là “mã zombie”.
Lỗ hổng bắt nguồn từ việc tràn số trong các hợp đồng thông minh cũ. Những hợp đồng này thiếu các biện pháp bảo vệ tràn số của Solidity hiện đại. Hacker đã tạo ra hàng triệu token TRU với gần như không tốn phí.
Sau khi tạo ra, các token này tràn ngược trở lại vào giao thức. Tất cả thanh khoản có sẵn biến mất trong vòng vài giờ. Giá token TRU sụt giảm gần 100% chỉ trong 24 giờ.
Extropy ghi nhận rằng hacker đã chuyển 8.535 ETH qua Tornado Cash ngay lập tức. Các công ty an ninh sau đó liên kết ví này với một vụ khai thác trước đó của Sparkle Protocol. Điều này cho thấy một đối tượng lặp lại, nhắm vào các hợp đồng cũ bị bỏ rơi.
Báo cáo cảnh báo rằng các hợp đồng cũ vẫn là một lỗ hổng nghiêm trọng. Các dự án cần theo dõi hoặc loại bỏ mã cũ một cách chủ động.
TMXTribe Mất $1.4 Triệu Trong 36 Giờ
Trong khoảng thời gian từ ngày 5 đến ngày 7 tháng 1, TMXTribe đã chịu một cuộc tấn công chậm hơn nhưng cũng không kém phần tàn khốc. Phiên bản fork của GMX trên Arbitrum đã mất 1,4 triệu đô la trong vòng 36 giờ liên tục.
Extropy mô tả vụ khai thác này khá đơn giản về mặt cơ học. Một vòng lặp đã tạo ra các token LP, đổi chúng lấy stablecoin, rồi rút staking nhiều lần. Các hợp đồng chưa xác minh đã ngăn cản phân tích chính xác về lỗi.
Điều khiến các nhà nghiên cứu lo ngại nhất là phản ứng của nhóm phát triển. Theo báo cáo, các nhà phát triển vẫn hoạt động trên chuỗi trong suốt vụ tấn công. Họ đã triển khai các hợp đồng mới và thực hiện nâng cấp trong quá trình rút tiền.
Tuy nhiên, họ không kích hoạt chức năng tạm dừng khẩn cấp. Thay vào đó, nhóm đã gửi một tin nhắn thưởng trên chuỗi cho hacker. Kẻ trộm đã phớt lờ, chuyển tiền sang Ethereum và rửa tiền qua Tornado Cash.
Extropy đặt câu hỏi liệu đây có phải là sự cẩu thả hay còn tồi tệ hơn thế. Báo cáo nhấn mạnh rằng các hợp đồng chưa xác minh là những dấu hiệu cảnh báo cho người dùng.
Trong những ngày đầu tháng 1, chúng ta đã thấy đầy đủ các dạng thất bại của Web3: hợp đồng zombie in tiền, quản trị biến thành nội chiến, các phiên bản fork chưa xác minh chảy máu chậm, rò rỉ chuỗi cung ứng gây nguy hiểm thực thể, các cuộc lừa đảo sử dụng vũ khí… https://t.co/ev1flKir3D
— Extropy.io (@Extropy) 13 tháng 1 năm 2026
Khách hàng Ledger Đối Mặt Rủi Ro An Ninh Thực Thể
Vào ngày 5 tháng 1, Ledger xác nhận đã xảy ra vụ rò rỉ dữ liệu ảnh hưởng đến khách hàng của họ. Vụ rò rỉ bắt nguồn từ nhà xử lý thanh toán Global-e, chứ không phải từ phần cứng của Ledger.
Tên khách hàng, địa chỉ giao hàng và thông tin liên hệ đã bị xâm phạm. Extropy cảnh báo điều này tạo ra các kịch bản gọi là “tấn công cờ lê” trong an ninh. Các hacker giờ đây sở hữu danh sách chủ sở hữu ví phần cứng tiền điện tử và vị trí của họ.
Báo cáo nhấn mạnh một sự mỉa mai cay đắng. Ledger trước đó đã bị chỉ trích vì tính phí cho các tính năng bảo mật. Giờ đây, nhà xử lý thanh toán của họ đã khiến người dùng gặp nguy hiểm thực thể mà không mất phí.
Extropy khuyên người dùng nên cảnh giác với các cuộc tấn công lừa đảo tinh vi. Dữ liệu bị đánh cắp cho phép hacker thiết lập lòng tin giả thông qua các liên lạc cá nhân hóa.
_Đọc thêm: _****Tổng hợp các sự cố an ninh liên quan đến ví Ledger
Chiến Dịch Lừa Đảo MetaMask Rút Tiền 107.000 Đô La
Nhà nghiên cứu an ninh ZachXBT đã phát hiện một chiến dịch lừa đảo tinh vi nhắm vào người dùng MetaMask. Chiến dịch này đã rút hơn 107.000 đô la từ hàng trăm ví.
Nạn nhân nhận được email chuyên nghiệp khẳng định cần nâng cấp bắt buộc vào năm 2026. Các tin nhắn sử dụng mẫu tiếp thị hợp pháp và có logo MetaMask đã chỉnh sửa. Extropy mô tả thiết kế “mũ tiệc tùng” của con cáo như một hình ảnh lễ hội dễ gây chú ý.
Chiến dịch lừa đảo tránh yêu cầu cung cấp seed phrase. Thay vào đó, nó yêu cầu người dùng ký phê duyệt hợp đồng. Điều này cho phép hacker chuyển không giới hạn token từ ví nạn nhân.
Bằng cách giữ các vụ trộm nhỏ dưới 2.000 đô la, chiến dịch tránh được các cảnh báo lớn. Extropy nhấn mạnh rằng các chữ ký có thể nguy hiểm không kém gì các khóa bị rò rỉ.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
