Tháng 4 năm 2026 là tháng bị tấn công mạng nhiều nhất trong lịch sử tiền điện tử xét về số lượng vụ việc.
Ước tính có khoảng 651 triệu đô la bị đánh cắp trong khoảng 40 vụ tấn công riêng biệt; trung bình hơn một vụ mỗi ngày.
Nếu bạn có tiền ở bất kỳ đâu trên chuỗi khối, đây là một bức thư quan trọng cần đọc.
Tôi không làm điều này để dọa bạn (thực ra, có lẽ là tôi đang cố ý, nhưng với ý tốt). Tôi làm điều này chủ yếu vì tôi nghĩ rằng các thủ đoạn đằng sau những vụ tấn công này sẽ ngày càng trở nên tồi tệ hơn trước khi chúng được cải thiện, và đây là lúc cần chủ động bảo vệ tiền của bạn.
Chuyện gì đã xảy ra vào tháng Tư?
Giao thức Drift (285 triệu đô la)
Drift là sàn giao dịch hợp đồng vĩnh cửu lớn nhất trên Solana với tổng giá trị bị Tổng giá trị khóa (TVL) khoảng 550 triệu đô la. Vào ngày 1 tháng 4, tin tặc đã rút sạch 285 triệu đô la trong 12 phút , xóa sổ hơn một nửa Tổng giá trị khóa (TVL) của giao thức.
Vụ tấn công bắt đầu vào tháng 10 năm 2025 tại một hội nghị tiền điện tử lớn. Những kẻ tấn công giả danh một công ty giao dịch định lượng và dành sáu tháng để xây dựng mối quan hệ với những người đóng góp cho Drift. Chúng có lý lịch chuyên nghiệp, đáng tin cậy. Thậm chí, chúng còn gửi hơn 1 triệu đô la tiền riêng của mình để mọi thứ trông có vẻ bình thường và hợp pháp.
Sau khi giành được lòng tin thông qua kỹ thuật thao túng tâm lý, chúng đã sử dụng một tính năng Solana gọi là nonces bền vững để khiến các thành viên Hội đồng An ninh Drift ký trước các giao dịch mà không hề hay biết. Nonces bền vững cho phép bạn ký một giao dịch ngay bây giờ và thực hiện nó sau đó, bạn có thể hình dung nó giống như ký một tấm séc trắng.
Vào ngày 1 tháng 4, những kẻ tấn công đã thực hiện các giao dịch đã được ký trước đó. Hai giao dịch, cách nhau một giây, đã chuyển giao quyền kiểm soát quản trị. Chúng đã đưa một Token giả vào danh sách trắng, gửi 500 triệu đơn vị token đó làm tài sản thế chấp và rút 285 triệu đô la tài sản thực. Token DRIFT giảm 42% trong vòng vài giờ và SOL giảm 5,5% trong ngày.
KelpDAO (292 triệu đô la)
KelpDAO là một giao thức reStaking cọc thanh khoản trên Ethereum. Họ phát hành rsETH, đại diện cho ETH đã được đặt cọc và lưu thông trên hơn 20 chuỗi thông qua cầu nối của LayerZero.
Vào ngày 18 tháng 4, những kẻ tấn công đã tạo ra 116.500 rsETH không được bảo đảm, trị giá khoảng 292 triệu đô la . Con số này chiếm khoảng 18% tổng nguồn cung rsETH, được tạo ra từ hư không.
Cuộc tấn công đã khai thác cấu hình LayerZero của KelpDAO. Khi bạn chuyển Token giữa các chuỗi bằng LayerZero, giao thức này sử dụng một thứ gọi là Mạng Xác minh Phi tập trung, hay DVN. Nhiệm vụ của DVN là giám sát chuỗi nguồn, kiểm tra xem bạn đã đốt token ở một phía hay chưa, và thông báo cho chuỗi đích để giải phóng token ở phía bên kia. Tài liệu của LayerZero cho biết bạn nên cấu hình cầu nối của mình với ít nhất hai DVN độc lập để không một DVN nào có thể tự mình ủy quyền việc giải phóng. Về cơ bản là cần hai cặp mắt để giám sát.
KelpDAO đã không làm như vậy. Họ cấu hình cầu nối của mình với thiết lập DVN 1-trong-1. Một người xác minh duy nhất có toàn quyền đối với khoản tiền ký quỹ 392 triệu đô la. LayerZero đã khuyến nghị rõ ràng sử dụng nhiều DVN trong danh sách kiểm tra tích hợp của họ. KelpDAO đã chọn mặc định và không bao giờ thay đổi nó vì một lý do nào đó (có lẽ là do kiêu ngạo).
Những kẻ tấn công đã có thể thao túng DVN này bằng cách tấn công các node RPC, về cơ bản cho phép chúng tạo ra 116.500 rsETH từ hư không. Sau đó, chúng đã làm những gì mà mọi cẩm nang tấn công mạng hiện đại đều mô tả và gửi số rsETH đó làm tài sản thế chấp trên AAVE và vay ETH thật dựa trên số tiền đó.
Hậu quả có thể nói là tồi tệ hơn cả chính khoản lỗ. AAVE chứng kiến dòng tiền rút ra trị giá 8,4 tỷ đô la trong vòng 48 giờ . Tổng giá trị Tổng giá trị khóa (TVL) DeFi giảm hơn 13 tỷ đô la trên diện rộng. Các nền tảng cho vay như Morpho, Spark, Lido và Beefy đã tạm ngừng một số hoạt động. Token AAVE giảm 17% và ZRO giảm 12%.
Niềm tin vào DeFi đã và đang ở mức thấp nhất mọi thời đại.
Danh sách đầy đủ các vụ hack tháng Tư
Drift và KelpDAO là những cái tên nổi bật trên các trang báo, nhưng họ không phải là những trường hợp duy nhất. Khoảng 40 (đúng vậy, BỐN MƯƠI, thật không thể tin được!) sự cố riêng biệt đã xảy ra trong ngành công nghiệp này suốt tháng đó:
Nguyên nhân nào dẫn đến tất cả các vụ tấn công mạng này?
Bước vào thế giới thần thoại
Vào ngày 7 tháng 4, Anthropic đã công bố một mẫu mới có tên Claude Mythos Preview . Họ không phát hành nó ra thị trường và thậm chí cũng không đề cập đến việc phát hành nó ra thị trường trong thời gian tới.
Họ không phát hành nó vì sức mạnh của nó quá lớn.
Theo lời Anthropic, Mythos có thể tìm và khai thác các lỗ hổng phần mềm ở mức độ “vượt trội hơn tất cả trừ những người giỏi nhất”. Sau vài tuần thử nghiệm, họ đã sử dụng nó để tìm ra hàng nghìn lỗ hổng zero-day trong mọi hệ điều hành chính và mọi trình duyệt web chính . Một số lỗi mà nó tìm thấy đã tồn tại 27 năm. Chúng đã ở đó từ cuối những năm 1990, bị bỏ sót bởi mọi nhà nghiên cứu bảo mật con người từng xem xét mã nguồn, và Mythos đã tìm thấy chúng chỉ trong vài ngày .
Nó cũng thực hiện những việc được cho là đã khiến nhóm Anthropic hoảng sợ. Trong một thử nghiệm, nó đã kết hợp bốn lỗ hổng riêng biệt lại với nhau và thoát khỏi môi trường bảo mật của chính nó, truy cập internet và gửi email cho nhà nghiên cứu đang thực hiện thí nghiệm (người mà, tình cờ thay, đang ngồi trên ghế đá công viên ăn bánh mì vào lúc đó lol).
Vì vậy, thay vì phát hành công khai, Anthropic đã khởi động một dự án có tên là Project Glasswing . Họ đã cung cấp Mythos cho một nhóm nhỏ các đối tác, về cơ bản là những tên tuổi lớn nhất trong lĩnh vực công nghệ: AWS, Apple, Microsoft, Google, Nvidia, JPMorgan, Cisco, Palo Alto Networks, CrowdStrike, Broadcom, Linux Foundation, và nhiều hơn nữa. Tổng cộng khoảng 50 tổ chức.
Mục tiêu là sử dụng Mythos để tìm và vá các lỗ hổng trong phần mềm quan trọng trước khi các khả năng tương đương rơi vào tay kẻ tấn công, với cam kết của Anthropic về 100 triệu đô la tín dụng sử dụng để hiện thực hóa điều này.
Tại sao điều này lại quan trọng đối với tiền điện tử?
Mythos là "con chim hoàng yến" trong mỏ than.
Anthropic khá thẳng thắn về lý do tại sao họ thực hiện Dự án Glasswing thay vì phát hành mô hình. Luận điểm của họ là khả năng này sẽ tồn tại trong thực tế trong vòng sáu đến mười tám tháng tới, bất kể họ có phát hành Mythos hay không. OpenAI được cho là đang nghiên cứu một thứ tương tự, và Viện An toàn AI của Anh đã đánh giá GPT-5.5 và kết luận rằng nó đã đạt được khả năng tấn công mạng tương tự trong các nhiệm vụ cụ thể của mình. Các mô hình trọng số mở/cục bộ cũng đang được cải thiện nhanh chóng.
Các hậu vệ cần có lợi thế dẫn trước. Đó chính là điểm mấu chốt của Glasswing.
AWS, Microsoft và Apple đều tham gia Dự án Glasswing. Tổ chức Linux Foundation cũng tham gia. Bạn có biết ai không tham gia Dự án Glasswing không?
Mọi giao thức DeFi mà bạn sử dụng.
Vì vậy, khi các khả năng của lớp Mythos bị rò rỉ ra ngoài (và điều đó chắc chắn sẽ xảy ra, dù là thông qua các mô hình mã nguồn mở bắt kịp, đánh cắp trọng lượng mô hình, hay các mô hình mã nguồn đóng bị bẻ khóa), làn sóng mục tiêu đầu tiên sẽ chính là những hệ thống có giá trị cao nhất và nguồn lực phòng thủ thấp nhất. Nói cách khác, toàn bộ lĩnh vực mã hóa.
Hợp đồng thông minh được thiết kế theo mã nguồn mở, nghĩa là bất kỳ ai cũng có thể đọc chúng, bất kỳ ai cũng có thể Fork chúng và bất kỳ ai cũng có thể chạy mô hình AI để tìm lỗi. Mô hình đã tìm ra lỗ hổng bảo mật 27 năm tuổi cũng sẽ tìm ra rất nhiều hợp đồng DeFi 5 năm tuổi đang chờ bị khai thác.
Điều gì sẽ xảy ra khi việc tìm ra một lỗ hổng nghiêm trọng trong giao thức DeFi giảm từ một hoạt động kéo dài sáu tháng xuống còn sáu giờ? Điều này không phải là điều quá khó hiểu: sẽ có nhiều vụ tấn công hơn.
Một điểm tích cực nhỏ là các công cụ AI dùng để tìm lỗi cũng có thể sửa lỗi. Các công ty kiểm toán hiện đang sử dụng các mô hình tiên tiến nhất để hỗ trợ công việc của họ, và nếu bạn là một nhóm chuyên về giao thức, bạn cũng có thể (và nên) chạy các công cụ này trên mã nguồn của mình ngay bây giờ.
Nhưng quá trình chuyển đổi sẽ mất thời gian và gặp nhiều khó khăn. 12 đến 18 tháng tới sẽ là giai đoạn nguy hiểm nhất đối với an ninh tiền điện tử mà chúng ta từng chứng kiến.
Điều này có ý nghĩa gì đối với bạn?
Mỗi giao thức bạn sử dụng đều có một bề mặt tấn công sắp bị quét kỹ lưỡng hơn bao giờ hết. Điều đó có nghĩa là nhiệm vụ của bạn với tư cách là người dùng là phải cân nhắc kỹ hơn về việc bạn tin tưởng giao thức nào để giao phó tiền của mình, và tin tưởng đến mức nào.
Thành thật mà nói, tôi đang chọn giải pháp cuối cùng. Rút hết tiền khỏi tất cả các giao thức DeFi trong thời gian này, cho đến khi tôi cảm thấy an toàn. Dù không muốn nói ra, nhưng hiện tại gửi tiền mặt vào tài khoản tiết kiệm ngân hàng thực sự là lựa chọn an toàn nhất.
Thị trường tiền điện tử vẫn còn non trẻ, và tôi vẫn tin tưởng mạnh mẽ vào tương lai của DeFi. Nhưng theo quan điểm của tôi, giai đoạn hiện tại quá rủi ro, và phần thưởng không bù đắp được rủi ro.
Chỉ một vụ hack với số tiền đáng kể cũng có thể xóa sạch khoản lợi nhuận tích lũy được trong hơn một thập kỷ (thậm chí còn hơn thế nữa).
Các giao thức vượt qua được giai đoạn này sẽ càng trở nên mạnh mẽ hơn trong vài năm tới và sẽ xây dựng được nhiều lòng tin hơn.
Những người dùng vượt qua được giai đoạn này sẽ là những người coi trọng vấn đề an ninh của chính mình.
Lời kết
Tôi bắt đầu viết bức thư này vì muốn nói về các vụ tấn công mạng hồi tháng Tư và cảnh báo mọi người về những nguy hiểm của trí tuệ nhân tạo. Nhưng càng tìm hiểu sâu hơn, tôi càng nhận ra rằng các con số của tháng Tư gần như chỉ là phản ánh chậm. Chúng vẫn bị chi phối bởi những chiêu trò cũ, các vụ tấn công kỹ thuật xã hội chiếm phần lớn số tiền bị đánh cắp, cùng với số lượng ngày càng tăng các vụ tấn công hợp đồng thông minh nhỏ hơn đóng vai trò như một lời cảnh báo sớm cho những gì sắp xảy ra.
Làn sóng tiếp theo sẽ khác biệt. Việc phát hiện lỗi dựa trên AI ở quy mô chưa từng thấy, tìm ra các lỗ hổng cấp độ mã nhanh hơn cả tốc độ vá lỗi của các giao thức. Mythos đã cho chúng ta thấy điều gì sắp xảy ra, và việc Anthropic cố gắng làm điều đúng đắn bằng cách hạn chế quyền truy cập không nhất thiết mang lại lợi ích gì cho chúng ta. Điều đó có thể tốt cho các công ty công nghệ lớn nhất thế giới, nhưng không giúp ích gì nhiều cho phần lớn cộng đồng DeFi.
Tôi đặc biệt khuyên bạn nên dành một giờ trong tuần này (tốt nhất là NGAY HÔM NAY) để kiểm tra lại tất cả các tài sản onchain và số tiền bạn đang nắm giữ trong bất kỳ giao thức nào, với mục đích chính là rút tiền và gửi chúng vào Ví lạnh.
Tôi ước mình có thể kết thúc bằng một điều gì đó lạc quan hơn, nhưng sự thật là an ninh mạng tiền điện tử sắp trở nên khó khăn hơn trước khi dễ dàng hơn.
Chúc may mắn, thành công, và như mọi khi, cảm ơn các bạn đã theo dõi.
Tuyên bố miễn trừ trách nhiệm: Nội dung trong bản tin này không được coi là lời khuyên đầu tư. Tôi không phải là cố vấn tài chính. Đây chỉ là ý kiến và quan điểm cá nhân của tôi. Bạn nên luôn tham khảo ý kiến của cố vấn tài chính chuyên nghiệp/có giấy phép trước khi giao dịch hoặc đầu tư vào bất kỳ sản phẩm liên quan đến tiền điện tử nào. Một số liên kết được chia sẻ có thể là liên kết giới thiệu.
