$27M Trộm ví tiền điện tử phơi bày những lỗ hổng nghiêm trọng trong bảo mật Multisig

Một vụ vi phạm an ninh gần đây đã tàn phá ví tiền điện tử của một cá mập Ethereum, dẫn đến mất hơn 27 triệu đô la tài sản kỹ thuật số. Sự cố này, lần đầu được phát hiện vào tháng 11 năm 2025, là một cảnh báo rõ ràng về những nguy hiểm của việc cấu hình sai các ví multisig và quản lý khóa riêng không đúng cách trong hệ sinh thái tiền điện tử. Công ty an ninh blockchain PeckShield phát hiện rằng kẻ tấn công đã kiểm soát được ví của nạn nhân chỉ sau sáu phút kể từ khi tạo ra, phơi bày những lỗ hổng cơ bản trong cách mà ngay cả những người dùng tinh vi cũng xử lý các khoản nắm giữ tiền điện tử của họ.

Cách Thiết Lập Chữ Ký Đơn Giản Đánh Bại Bảo Vệ Multisig

Cốt lõi của thảm họa này nằm ở một lỗi cấu hình nghiêm trọng: ví được thiết lập là ví “1 trong 1” thay vì một cấu hình multisig thực sự. Trong khi ví multisig được thiết kế dựa trên nguyên tắc cần nhiều sự phê duyệt để thực hiện giao dịch, thì cấu hình này chỉ yêu cầu một chữ ký duy nhất—gần như loại bỏ hoàn toàn lợi ích bảo mật. Khi khóa riêng bị xâm phạm, dù qua lừa đảo, phần mềm độc hại hay các phương thức khác, kẻ tấn công không gặp trở ngại nào để chuyển tiền.

Điều làm cho lỗ hổng này càng đáng báo động hơn là nó không phải do lỗi của công nghệ ví, mà là một sai sót vận hành cơ bản trong quá trình triển khai. Sự hiểu lầm của nạn nhân về yêu cầu multisig đã biến một kiến trúc an toàn thành một điểm thất bại duy nhất. Các chuyên gia an ninh nhấn mạnh rằng bảo vệ multisig thực sự yêu cầu ít nhất 2 trong 3 hoặc 3 trong 5 chữ ký, với khóa riêng được phân phối trên nhiều thiết bị riêng biệt do các bên khác nhau kiểm soát.

Theo Dõi 12,6 Triệu USD ETH Qua Dịch Vụ Trộn

Ngay sau khi kẻ tấn công truy cập thành công, chúng đã bắt đầu chuyển các tài sản bị đánh cắp qua Tornado Cash, một dịch vụ trộn tiền điện tử nhằm che giấu dấu vết giao dịch. Phân tích pháp y của PeckShield cho thấy khoảng 4.100 ETH (được định giá khoảng 12,6 triệu đô la dựa trên tỷ giá tháng 11) đã được chuyển qua dịch vụ trộn trong các giao dịch từng bước.

Ngoài Ethereum, hacker còn lấy đi nhiều token lưu trữ trong ví: WETH (Wrapped Ethereum), OKB (hiện giao dịch ở mức 86,12 đô la), LEO (gần 8,69 đô la), và FET (Liên minh Siêu trí tuệ Nhân tạo, quanh mức 0,18 đô la). Kẻ tấn công cũng giữ lại khoảng 2 triệu đô la trong stablecoin và các tài sản thanh khoản khác. Khi kết hợp với các khoản nắm giữ khác có thể đã được chuyển riêng biệt, các chuyên gia pháp y ước tính tổng số tiền bị trộm có thể vượt quá 40 triệu đô la, biến đây thành một trong những vụ vi phạm ví lớn nhất trong lịch sử DeFi gần đây.

Việc sử dụng Tornado Cash thể hiện một nỗ lực cố ý nhằm phá vỡ tính minh bạch của blockchain. Mặc dù không hoàn toàn không thể truy vết—các nhà phân tích blockchain vẫn có thể nhận diện các mẫu đáng ngờ—dịch vụ trộn này thành công trong việc làm phức tạp hóa đáng kể việc truy vết quỹ và hỗ trợ pháp luật phục hồi.

Vị Trí Cho Vay Aave Tạo Rủi Ro Thanh Khoản Hóa Chuỗi

Vào thời điểm bị tấn công, nạn nhân đã phân bổ các khoản nắm giữ tiền điện tử của mình qua Aave, một nền tảng tài chính phi tập trung hàng đầu. Ví bị xâm phạm đã cung cấp khoảng 25 triệu đô la Ethereum làm tài sản thế chấp, và nạn nhân đã vay khoảng 12,3 triệu đô la stablecoin DAI (hiện duy trì tỷ lệ peg 1.00 đô la).

Vị trí vay này tạo ra một rủi ro thứ cấp nguy hiểm. Chỉ số sức khỏe của ví—đo lường mức độ gần đến mức bị thanh lý bắt buộc—hiện là 1.68. Con số này rất gần với ngưỡng thanh lý 1.0. Nếu giá Ethereum giảm mạnh, vị trí này sẽ tự động kích hoạt, buộc bán tài sản thế chấp với giá có thể không có lợi. Điều này không chỉ gây rắc rối cho nạn nhân mà còn tạo ra rủi ro hệ thống cho thị trường rộng lớn hơn, vì các khoản thanh lý bắt buộc tạo ra áp lực bán có thể lan rộng qua các vị trí crypto khác.

Bài Học Về An Ninh Ví Tiền Điện Tử

Vụ tấn công này nhấn mạnh một số thất bại an ninh nghiêm trọng mà người dùng tiền điện tử cần tránh:

Các Vectors Xâm Phạm Khóa Riêng: Nguyên nhân ban đầu có thể do phần mềm độc hại trên thiết bị của nạn nhân, một cuộc tấn công lừa đảo nhằm lấy cắp thông tin đăng nhập, hoặc các thực hành an ninh vận hành kém. Các kẻ tấn công ngày càng sử dụng các kỹ thuật xã hội tinh vi để nhắm vào các cá nhân có giá trị cao trong không gian crypto.

Ký Kết Ngoại Tuyến và Ví Phần Cứng: Các chuyên gia an ninh khuyên mạnh mẽ rằng người dùng quản lý lượng lớn tiền điện tử nên sử dụng ví phần cứng hoặc thiết bị ký kết ngoại tuyến riêng biệt. Những thiết bị này giữ khóa riêng hoàn toàn tách biệt khỏi các hệ thống kết nối internet, nơi có thể xảy ra phần mềm độc hại và các cuộc tấn công lừa đảo.

Triển Khai Multisig Thực Sự: Một ví multisig được cấu hình đúng yêu cầu:

• Ít nhất 2 trong 3 hoặc 3 trong 5 chữ ký
• Khóa riêng được lưu trữ trên các thiết bị vật lý riêng biệt
• Các khóa được quản lý bởi các bên khác nhau (hoặc cùng một người ở các vị trí địa lý khác nhau)
• Thường xuyên kiểm tra bảo mật cấu hình và thiết lập ví

Xác Minh Ngoài Giao Diện Người Dùng: Người dùng nên xác minh chi tiết giao dịch ở cấp độ phần cứng, không chỉ qua giao diện người dùng, vốn có thể bị xâm phạm hoặc giả mạo.

Vụ trộm 27 triệu đô này là một bài học đắt giá cho toàn cộng đồng tiền điện tử: ngay cả các thực hành bảo mật đã được thiết lập như ví multisig cũng chỉ cung cấp khung bảo vệ theo thiết kế của chúng. Một ví cấu hình sai không hơn gì một thiết lập chữ ký đơn tiêu chuẩn, và hậu quả có thể vô cùng thảm khốc. Đối với bất kỳ ai quản lý lượng lớn tài sản tiền điện tử, sự kiện này nhấn mạnh lý do tại sao hạ tầng bảo mật chuyên nghiệp là điều bắt buộc—nó là yếu tố then chốt.