Trubit mất 26 triệu USD do lỗi hợp đồng thông minh, giá TRU giảm 99%

Một lỗi nghiêm trọng trong hợp đồng thông minh đã khiến dự án blockchain Trubit tổn thất khoảng 380 tỷ đồng. Vụ việc cho thấy ngay cả những dự án hoạt động ổn định trong nhiều năm cũng không miễn nhiễm với lỗ hổng bảo mật, đặt ra cảnh báo cho toàn ngành tiền mã hóa.

Theo Cointelegraph đưa tin ngày 24 (giờ địa phương), dự án Trubit vừa hứng chịu một cuộc tấn công quy mô lên tới 26 triệu USD (khoảng 383 tỷ đồng). Sau vụ việc, giá trị đồng Trubit(TRU) lao dốc mạnh, giảm tới 99%. Kẻ tấn công đã khai thác một điểm yếu trong logic lập trình của hợp đồng thông minh, từ đó phát hành lượng lớn TRU gần như miễn phí mà không cần thanh toán chi phí Ethereum(ETH).

Theo phân tích từ công ty an ninh mạng SlowMist, thủ phạm đã lợi dụng sai sót trong phép cộng số nguyên không có cơ chế “chống tràn giá trị”, cho phép hacker dễ dàng thao túng hợp đồng. Khi thực hiện thao tác mua TRU, hợp đồng tính sai số ETH cần thanh toán – kết quả là hệ thống định giá gửi ETH về con số gần bằng 0. Giao dịch đó giúp hacker tạo lượng lớn token và đánh cắp tới 26 triệu USD từ nền tảng.

SlowMist chỉ ra rằng hợp đồng này được viết bằng phiên bản trình biên dịch Solidity 0.6.10 – một bản cũ không hỗ trợ tự động xử lý lỗi tràn số. Khi kết quả tính toán vượt quá giá trị cho phép của kiểu dữ liệu uint256, nó sẽ “quay vòng” về mức rất thấp, tạo lỗ hổng cho hacker có thể “phù phép” code để chiếm đoạt tài sản.

Trubit từng chính thức ra mắt trên mạng chính Ethereum vào tháng 4 năm 2021 và được cộng đồng đánh giá cao nhờ có thời gian phát triển lâu dài cùng nền tảng kỹ thuật vững chắc. Tuy vậy, vụ việc lần này đã cho thấy ngay cả những dự án nổi tiếng vẫn có thể mắc lỗi hợp đồng thông minh – một lần nữa khẳng định tính chất thiết yếu của kiểm thử bảo mật liên tục.

AI chứng minh khả năng tấn công: Vai trò sống còn của kiểm toán hợp đồng thông minh

Mối đe dọa từ lỗi hợp đồng thông minh càng trở nên nghiêm trọng hơn khi trí tuệ nhân tạo cũng có thể tham gia tấn công. Theo báo cáo của công ty AI Anthropic công bố năm 2024, các mô hình như Claude Opus 4.5, Sonnet 4.5 và GPT-5 có thể tự thiết kế những cuộc tấn công vào hợp đồng thông minh với tổng giá trị thiệt hại lên đến 4,6 triệu USD (gần 67 tỷ đồng).

Theo thống kê của SlowMist, trong số các vụ hack tiền mã hóa xảy ra năm 2025, có đến 56 vụ – tương đương 30,5% – xuất phát từ lỗ hổng hợp đồng thông minh. Tiếp theo là các vụ chiếm đoạt tài khoản (50 vụ, chiếm 24%) và rò rỉ khóa cá nhân (chiếm 8,5%). Những con số trên cho thấy điểm yếu về kỹ thuật vẫn là một “cánh cửa mở” cho kẻ xấu khai thác một cách đầy hệ thống.

Tấn công phi kỹ thuật: Lừa đảo người dùng tiếp tục gia tăng

Không chỉ lỗi kỹ thuật, các hình thức lừa đảo dựa trên tâm lý người dùng (“kỹ nghệ xã hội trên chuỗi”) đang trở thành phương thức chính của tin tặc. Theo báo cáo của SlowMist, năm 2025 ghi nhận tới 248 vụ lừa đảo phishing, gây thiệt hại khoảng 722 triệu USD (hơn 1.0647 tỷ đồng). Dù giảm 38% so với năm trước, con số này vẫn cực kỳ nghiêm trọng.

Theo nền tảng bảo mật blockchain CertiK, các vụ phishing thường không sử dụng mã độc, mà chỉ cần gài liên kết giả để đánh lừa người dùng tự cung cấp khóa ví. Điều này khiến nhiều nạn nhân không nhận ra rủi ro cho đến khi tài sản bị đánh cắp.

Vụ việc của Trubit là một minh chứng rõ ràng rằng: bất kể dự án có được thiết kế và vận hành kỹ lưỡng ra sao, thì nếu thiếu đi quá trình kiểm toán bảo mật vững vàng, hậu quả vẫn có thể rất nghiêm trọng. Đồng thời, các mối nguy như từ “từ” hợp đồng thông minh hay “từ” phishing đều đòi hỏi giới đầu tư phải tăng cường cảnh giác, đồng thời xây dựng hệ thống phòng vệ đa lớp bao gồm cả công nghệ lẫn nâng cao nhận thức cộng đồng.

“Bình luận”: Đây có thể xem là lời cảnh tỉnh với toàn thị trường, khi sự phát triển của trí tuệ nhân tạo không chỉ tăng hiệu suất phát triển dự án mà còn “bẻ khóa” chính hệ thống nếu thiếu kiểm soát phù hợp. Vì thế, đầu tư vào “từ” bảo mật – cả kỹ thuật lẫn hành vi – sẽ là chìa khóa sống còn với doanh nghiệp blockchain trong tương lai.