Lỗ hổng Truebit xóa sổ 99% giá trị token sau vụ trộm 26 triệu đô la Ether

Token TRU của Truebit sụp đổ hơn 99% sau khi bị khai thác 26 triệu đô la Ether, kéo dài chuỗi các vi phạm bảo mật tài khoản DeFi lớn mặc dù tổng thiệt hại giảm.

Truebit thừa nhận "một sự cố bảo mật tài khoản liên quan đến một hoặc nhiều tác nhân độc hại" gắn với địa chỉ hợp đồng thông minh cho thấy thiệt hại khoảng 26 triệu đô la Ether. Trong một bài đăng trên X, nhóm cho biết họ đang liên hệ với cơ quan thực thi pháp luật và "thực hiện mọi biện pháp có thể" sau vi phạm, nhưng vẫn chưa đưa ra báo cáo kiểm toán hợp đồng thông minh chi tiết kỹ thuật.​

Các nhà phân tích on-chain giám sát giao thức báo cáo rằng kẻ tấn công đã chiếm đoạt khoảng 8,535 ETH, trị giá khoảng 26.6 triệu đô la vào thời điểm đó. Trong khi địa chỉ hợp đồng được Truebit gắn cờ chỉ hiển thị số lượng nhỏ ETH bị đánh cắp, các thám tử blockchain như Lookonchain và những người khác đã chỉ ra một mô hình di chuyển rộng hơn cho thấy "tổng số tiền điện tử bị đánh cắp trong cuộc tấn công vượt quá 26 triệu đô la."​

Phản ứng thị trường rất tàn khốc và ngay lập tức. Theo dữ liệu khối từ Nansen, giá token TRU của Truebit giảm mạnh hơn 99%, trượt từ khoảng 0.16 đô la xuống mức thấp nhất mọi thời đại gần 0.0000000029 đô la khi các báo cáo về vụ khai thác lan rộng. Tại thời điểm xuất bản, vẫn chưa rõ điều gì chính xác đã kích hoạt vụ khai thác trị giá hàng triệu đô la hoặc liệu quỹ người dùng cuối được giữ trên giao thức có bị rủi ro trực tiếp hay không, và Cointelegraph lưu ý rằng Truebit đã không phản hồi yêu cầu bình luận.​

Vụ việc token giả mạo của Flow

Vi phạm Truebit theo sau tháng 12 khi nhiều vụ khai thác cấp cao làm rung chuyển niềm tin vào cơ sở hạ tầng blockchain. Vào ngày 27/12/2025, Quỹ Flow tiết lộ rằng một kẻ tấn công đã khai thác lỗ hổng trong mạng Flow để "giả mạo token, chiếm đoạt khoảng 3.9 triệu USD."​

Trong báo cáo kiểm toán hợp đồng thông minh kỹ thuật, Flow nhấn mạnh rằng "không có số dư người dùng hiện tại nào bị truy cập hoặc xâm phạm" và cuộc tấn công đã sao chép tài sản thay vì chạm vào tài sản hợp pháp. Các validator đã phối hợp dừng mạng trong khoảng sáu giờ kể từ giao dịch độc hại đầu tiên, và hầu hết các tài sản giả mạo đã bị đóng băng trên chuỗi hoặc được thu hồi và tiêu hủy phối hợp với các sàn giao dịch.​

Bản cập nhật Chrome độc hại của Trust Wallet

Trust Wallet cũng phải đối mặt với sự cố bảo mật tài khoản lớn vào cuối tháng 12 khi tiện ích mở rộng trình duyệt Chrome của nó bị xâm phạm. Công ty sau đó xác nhận rằng phiên bản 2.68 của tiện ích mở rộng chứa mã độc cho phép kẻ tấn công truy cập dữ liệu ví nhạy cảm và rút cạn quỹ người dùng, cuối cùng dẫn đến thiệt hại ước tính khoảng 7 triệu đô la.​

Trust Wallet kêu gọi người dùng cập nhật ngay lên phiên bản 2.69 và khởi động quy trình hoàn tiền, cảnh báo về các vụ lừa đảo thứ cấp qua biểu mẫu bồi thường giả mạo và tài khoản hỗ trợ mạo danh. CEO Eowyn Chen cho biết bản dựng độc hại "rất có thể đã được xuất bản bên ngoài thông qua khoá API Chrome Web Store, bỏ qua các kiểm tra phát hành tiêu chuẩn của chúng tôi," nhấn mạnh khía cạnh chuỗi cung ứng của sự xâm phạm.​

Thiệt hại toàn ngành và xu hướng bảo mật

Bất chấp chuỗi các vi phạm lớn, thiệt hại toàn ngành từ hack và khai thác thực sự đã giảm vào cuối năm. Công ty phân tích blockchain PeckShield báo cáo rằng tổng thiệt hại trong toàn lĩnh vực crypto đã giảm xuống khoảng 76 triệu đô la trong tháng 12, giảm mạnh từ khoảng 194 triệu trong tháng 11.​