Step Finance bị hack gần 300 tỷ đồng, báo động lỗ hổng bảo mật DeFi trên Solana(SOL)

Step Finance bị hack gần 300 tỷ đồng, giới DeFi rúng động vì rò rỉ ví dự án

Nền tảng tài chính phi tập trung Step Finance trên hệ sinh thái Solana(SOL) đã trở thành mục tiêu của một cuộc tấn công mạng nghiêm trọng, dẫn đến việc thất thoát khoảng 261.854 SOL – tương đương gần 300 tỷ đồng. Theo Step Finance công bố ngày 24 (giờ địa phương), đây không phải là lỗ hổng hợp đồng thông minh, mà là một vụ "rò rỉ quyền truy cập ví nội bộ", làm dấy lên lo ngại lớn về mức độ bảo mật trong các dự án DeFi hiện nay.

Theo phân tích từ công ty bảo mật CertiK, sau khi chiếm được quyền kiểm soát ví, kẻ tấn công đã chuyển quyền stake tài sản rồi rút tiếp về ví cá nhân. Ngay sau khi thông tin được công bố, giá token riêng của nền tảng là STEP đã rơi tự do hơn 90% chỉ trong một ngày, phản ánh tâm lý hoảng loạn lan rộng trên thị trường. Một số nhà đầu tư cho rằng đây có thể là "chiêu trò rút tiền bằng thông tin nội bộ" (exit scam) được lên kế hoạch từ trước, thay vì chỉ là một vụ hack đơn thuần.

Step Finance đã ngay lập tức kích hoạt cơ chế phản ứng khẩn cấp, phối hợp cùng các chuyên gia bảo mật để thu hẹp quy mô thiệt hại và truy dấu thủ phạm. Theo dữ liệu on-chain từ kênh truyền thông SolanaFloor, hacker dường như đã kiểm soát hoàn toàn các ví bị tấn công khi thực hiện thao tác hủy stake rồi rút tiền trực tiếp. Step Finance cũng đã báo cáo vụ việc tới các cơ quan chức năng liên quan.

Tác động không chỉ dừng ở Step Finance

Vụ việc gây chấn động không chỉ gói gọn trong Step Finance mà còn lan sang một số giao thức DeFi liên kết. Một trong số đó là Remora Markets – nền tảng giao dịch liên quan đến rổ tài sản rStocks. Đơn vị này cho biết Step Finance là nhà cung cấp thanh khoản chính và một phần tài sản liên kết có thể bị ảnh hưởng. Tuy nhiên, Remora khẳng định các tài sản khách hàng vẫn đang được lưu trữ theo tỷ lệ 1:1 trong tài khoản môi giới và chương trình quy đổi đã được triển khai.

Giá token STEP sau vụ việc gần như về mức “vô giá trị” khi các nhà đầu tư đồng loạt bán tháo, làm dấy lên dấu hỏi lớn về năng lực quản trị và minh bạch của nền tảng. Bình luận từ các chuyên gia cho rằng vụ hack đã để lộ "điểm yếu đáng báo động" về vấn đề quản lý quyền truy cập trong các dự án phi tập trung – nơi vốn được kỳ vọng là minh bạch và phi rủi ro.

Tháng 1 đen tối của thị trường DeFi

Theo báo cáo an ninh blockchain được CertiK công bố ngày 24 tháng 1, chỉ riêng trong tháng 1 thị trường tài chính phi tập trung đã ghi nhận thiệt hại hơn 370,3 triệu USD (khoảng 5.381 tỷ đồng), trong đó các vụ lừa đảo bằng hình thức phishing chiếm tới 311,3 triệu USD (khoảng 4.523 tỷ đồng).

Một loạt tên tuổi khác cũng trở thành mục tiêu trong tháng này bao gồm Truebit bị mất khoảng 26,6 triệu USD (386 tỷ đồng), SwapNet bị rút 13,3 triệu USD (193 tỷ đồng), Saga tổn thất 6,2 triệu USD (90 tỷ đồng), và Makina Finance bị đánh cắp 4,2 triệu USD (61 tỷ đồng) thông qua hình thức flash loan.

Điều đáng lo ngại hơn là các dự án phát triển trên nền tảng Solana như Step Finance liên tiếp bị tấn công. Trước đó không lâu, vào tháng 9 năm 2025, SwissBorg đã ghi nhận thiệt hại lên tới 41,5 triệu USD (602 tỷ đồng) sau khi nhà cung cấp API partner là Kiln bị xâm nhập. Đến tháng 11 cùng năm, sàn giao dịch Upbit của Hàn Quốc tiếp tục mất khoảng 36 triệu USD (523 tỷ đồng) do lỗ hổng từ các tài sản trên Solana.

Thiệt hại kỷ lục từ tấn công phần cứng và nỗi lo an toàn tài sản của chính phủ

Sự cố nghiêm trọng nhất trong tháng đến từ một vụ tấn công bằng kỹ thuật xã hội (social engineering) nhằm vào ví phần cứng cá nhân, gây tổn thất lên tới 282 triệu USD (khoảng 4.097 tỷ đồng). Theo nhà phân tích ZachXBT, kẻ tấn công đã rửa tiền qua Monero(XMR) để xóa dấu vết trên blockchain sau khi đánh cắp một lượng lớn Bitcoin(BTC) và Litecoin(LTC).

Thậm chí, cả tài sản kỹ thuật số thuộc quyền quản lý của chính phủ Hoa Kỳ cũng không tránh khỏi. Theo thông báo từ Cục Cảnh sát Tư pháp Hoa Kỳ (US Marshals Service), một trong các ví chứa tài sản bị tịch thu của chính phủ đã bị nghi ngờ xâm nhập với thiệt hại ở mức 60 triệu USD (871 tỷ đồng). Hiện các cơ quan thực thi đang hợp tác để điều tra vụ việc.

Bình luận: Các chuyên gia cảnh báo rằng các vụ việc như trên đang phá vỡ niềm tin vào hệ sinh thái DeFi, vốn được quảng bá là “an toàn và phi tập trung”. Từ vụ Step Finance cho đến hàng loạt sự cố khác, điểm chung là sự thiếu hụt hệ thống giám sát toàn diện – nơi quyền kiểm soát ví và dữ liệu người dùng không được đảm bảo tối ưu.

Với những gì đã xảy ra, tháng 1 năm 2026 có thể sẽ được ghi nhận như “tháng đen tối nhất của lĩnh vực DeFi”, đặt ra nhu cầu cấp thiết về tiêu chuẩn bảo mật, quy trình kiểm định và nền tảng quản lý rủi ro minh bạch trong toàn ngành công nghiệp tiền mã hóa.