Kế Hoạch 269 Ngày Rút Cạn 7,3 Triệu USD Từ BNB Chain: Giải Phẫu Vụ Tấn Công DxSale Và Nỗi Ám Ảnh 'Hợp Đồng Zombie'

Một kế hoạch dài hạn: 269 ngày ủ mầm

Điều khiến vụ hack này khác biệt với một vụ xâm phạm cơ hội là bằng chứng về sự lên kế hoạch lâu dài và quy mô lớn. Dữ liệu trên chuỗi cho thấy kẻ tấn công đã đặt nền móng từ gần chín tháng trước khi tiền bị rút.

• Tháng 8/2025: Quyền sở hữu của hợp đồng legacy locker quan trọng đã được chuyển cho một địa chỉ mà kẻ tấn công hiện kiểm soát .
• Ngày 28-29/05/2026: Khoảng 269 ngày sau, vụ rút tiền thực tế mới được thực hiện .

Việc "gài sẵn vị trí" này cho thấy đây là một sự tính toán cẩn trọng, không phải tội phạm cơ hội. Các nhà phân tích trên chuỗi và công ty bảo mật như PeckShield, SlowMist nhận định rằng sự hiệu quả của cuộc tấn công chỉ ra một kiến thức sâu, có thể là nội bộ, về cấu trúc hợp đồng lỗi thời cụ thể của DxSale .

Lịch sử của những lời cảnh báo bị xem nhẹ

Vụ khai thác năm 2026 không đến mà không có những dấu hiệu cảnh báo trước đó. Vào tháng 6 năm 2025, công ty bảo mật blockchain Decurity đã tiết lộ một lỗi nghiêm trọng trong một hợp đồng thông minh khác của DxSale trên BNB Chain, vào thời điểm đó đã đặt ít nhất 5,2 triệu USD tiền của người dùng vào tình trạng rủi ro. Vì đã tìm ra và báo cáo một cách có trách nhiệm về lỗ hổng có thể dẫn đến thiệt hại hàng triệu đô la này, Decurity được cho là chỉ được đề nghị một khoản tiền thưởng (bounty) vỏn vẹn 500 USD – một con số thấp đến mức trở thành tiêu đề bị chỉ trích rộng rãi trong ngành .

Dù lỗi cụ thể đó sau này đã được vá, sự việc đã phơi bày một thói quen "bỏ bê" hạ tầng bảo mật, dường như vẫn tiếp diễn và lên đến đỉnh điểm bằng vụ xâm phạm còn tàn khốc hơn vào các legacy locker một năm sau đó.

Rửa tiền: Chia nhỏ và làm nhiễu

Sau khi kiểm soát được các token LP, kẻ tấn công nhanh chóng hành động để xóa dấu vết của số tiền bị đánh cắp. Địa chỉ chính của kẻ tấn công, 0xC4574DDEF299e7E563971e200433e592EeaaFA69, đã thực hiện cách tiếp cận nhiều bước để rửa tài sản .

1. Hoán đổi Token: Các token LP bị đánh cắp ngay lập tức được quy đổi thành BNB, đồng tiền mã hóa gốc của BNB Chain, để gây khó khăn cho việc truy vết trên chuỗi .
2. Tập trung và Phân tách: Khoảng 2.958 BNB, trị giá khoảng 1,87 triệu USD vào thời điểm đó, được chuyển từ địa chỉ chính sang hai ví trung gian .
3. Phân phối: Tiền từ các ví đó sau đó được phân tán ra nhiều địa chỉ tiền gửi khác nhau, một kỹ thuật được thiết kế để chia nhỏ thêm dấu vết tiền bạc và gây khó khăn cho nỗ lực thu hồi . Các báo cáo ban đầu cũng ghi nhận việc sử dụng các dịch vụ xuyên chuỗi như AnySwap trong quá trình rửa tiền .

Bức tranh toàn cảnh: Năm 2026 tàn khốc của DeFi

Vụ việc DxSale không phải là một sự kiện đơn lẻ mà là một phần của làn sóng tội phạm tiền mã hóa tàn khốc trong năm 2026. Năm nay đang trên đà trở thành một trong những năm tồi tệ nhất được ghi nhận về bảo mật trên chuỗi.

• Một quý I đầy ảo giác: Quý đầu tiên của năm 2026 chứng kiến các giao thức tài chính phi tập trung (DeFi) thiệt hại khoảng 168-169 triệu USD qua 34 vụ khai thác. Dù đây là mức giảm 89% so với con số đáng kinh ngạc 1,58 tỷ USD bị mất trong quý I/2025 – con số bị thổi phồng nặng nề bởi vụ hack Bybit 1,4 tỷ USD – các chuyên gia bảo mật vẫn cảnh báo rằng mối đe dọa còn lâu mới chấm dứt .
• Một tháng Tư phá kỷ lục: Những cảnh báo đó đã chính xác. Tháng 4 năm 2026 đã trở thành tháng bị hack nhiều nhất trong lịch sử tiền mã hóa, với hơn 606 triệu USD bị đánh cắp chỉ riêng từ các giao thức DeFi. Điều này đã kích hoạt một cuộc "tháo chạy" quy mô lớn với 13 tỷ USD tổng giá trị bị khóa (TVL) rời khỏi hệ sinh thái DeFi chỉ trong 48 giờ .
• Tổn thất leo thang từ đầu năm: Đến cuối tháng 5/2026, tổng thiệt hại từ hack và khai thác tiền mã hóa đã vượt qua 1,1 tỷ USD qua 185 vụ việc. Các vụ khai thác DeFi và cầu nối xuyên chuỗi chiếm khoảng 816,9 triệu USD trong tổng số đó .
• Mối đe dọa được nhà nước hậu thuẫn: Một phần đáng kể thiệt hại được quy cho các nhóm hacker Triều Tiên, những kẻ chịu trách nhiệm cho 76% tổng thiệt hại từ hack tiền mã hóa tính đến tháng 4/2026, đánh cắp khoảng 577 triệu USD chỉ trong một vài cuộc tấn công lớn .

Vụ khai thác DxSale, dù không phải là vụ xâm phạm lớn nhất trong năm, là một ví dụ điển hình về một vector đe dọa đang gia tăng. Khi không gian DeFi mở rộng, "nghĩa địa" của các hợp đồng "zombie" cũ, chưa được kiểm toán và không được bảo trì cũng phình to theo. Những hợp đồng này vẫn giữ khóa quản trị (admin keys) mà nếu bị xâm phạm, hoặc như trong trường hợp này, bị chuyển nhượng một cách lén lút, sẽ cung cấp cho kẻ tấn công một con đường trực tiếp đến bất kỳ khoản tiền nào vẫn còn bị khóa bên trong. Vụ việc là một lời nhắc nhở quan trọng rằng "thanh khoản bị khóa" chỉ an toàn như chính đoạn mã và chiếc chìa khóa kiểm soát chiếc két đó.