Các sự kiện an ninh và rủi ro nổi bật nhất trong ngành tiền mã hóa gồm: thao túng thị trường PIPPIN, các lỗ hổng của hợp đồng thông minh, cùng rủi ro lưu ký tài sản tại sàn giao dịch.

Thao túng thị trường PIPPIN: 26 địa chỉ liên kết rút 96 triệu USD khỏi các sàn tập trung

Năm 2025, hoạt động điều phối giữa 26 địa chỉ liên quan đến PIPPIN đã gây chấn động thị trường khi nhóm ví này đồng loạt rút tổng cộng 96 triệu USD khỏi các sàn giao dịch tập trung. Dòng vốn quy mô lớn này khiến giới phân tích và cơ quan quản lý lập tức phát tín hiệu cảnh báo.

Việc các địa chỉ rút tiền cùng lúc, với lịch sử giao dịch liên kết cho thấy rõ đây là hành vi chủ ý có tổ chức, không phải hoạt động tự phát của người dùng. Phân tích on-chain xác nhận các địa chỉ này có lịch sử chuyển khoản đan xen, chứng tỏ khả năng cao chúng chịu sự điều phối chung. Cả thời điểm lẫn quy mô dòng tiền đều trùng khớp với dấu hiệu thao túng thị trường, tạo tác động giả lên giá PIPPIN.

SEC đã mở điều tra về mô hình giao dịch bất thường này để xác định liệu các đợt rút tiền có phối hợp có phải là hành vi thao túng thị trường. Việc PIPPIN xếp thứ 5 trên bảng chỉ số SymSense cho thấy đây là đối tượng bị giám sát đặc biệt. Các dữ liệu hiện có cho thấy khả năng cao các cụm địa chỉ phối hợp với mục đích thổi phồng khối lượng giao dịch và kiểm soát giá, buộc cán bộ tuân thủ và nhà đầu tư phải cảnh giác tối đa.

Lỗ hổng hợp đồng thông minh và tấn công reentrancy: Phân tích vụ Penpie bị khai thác 27 triệu USD

Tháng 9 năm 2024, giao thức Penpie gặp sự cố bảo mật nghiêm trọng, thất thoát 27 triệu USD do lộ ra lỗ hổng trọng yếu trong hợp đồng thông minh. Kẻ tấn công đã lợi dụng lỗ hổng reentrancy trong hàm _harvestBatchMarketRewards của hợp đồng PendleStaking—hàm này không được bảo vệ bằng reentrancy guard.

Hành vi tấn công xuất phát từ việc gọi hàm redeemRewards() để kích hoạt claimRewards() của thị trường mục tiêu, cho phép thực thi đệ quy trước khi trạng thái cập nhật. Bằng cách phát hành token SY giả và nạp PENDLE-LPT giá trị lớn, kẻ tấn công đã kiểm soát cơ chế phân phối phần thưởng. Việc giao thức không xác thực độ uy tín của thị trường đã khiến lỗ hổng bị lợi dụng triệt để.

Sự cố này cho thấy hợp đồng Penpie thiếu kiểm soát truy cập và xác thực giao dịch nghiêm ngặt. Kẻ tấn công nạp token thị trường LPT bị nhận diện sai là phần thưởng hợp lệ, khiến số dư phần thưởng tăng ảo. Khi phát hiện bất thường, đội ngũ phát triển đã đóng băng hệ thống để hạn chế tổn thất, dù sau đó có thêm hợp đồng độc hại xuất hiện nhắm tới 105 triệu USD tài sản còn lại.

Vụ hack Penpie là minh chứng điển hình cho việc chỉ một lỗ hổng reentrancy không được kiểm soát cũng có thể dẫn đến thiệt hại tài chính nghiêm trọng. Trường hợp này khẳng định tầm quan trọng của các biện pháp bảo mật chặt chẽ: cần tích hợp reentrancy guard, xác thực trạng thái cũng như kiểm toán hợp đồng thông minh toàn diện trước khi triển khai mainnet để bảo vệ hệ sinh thái DeFi.

Rủi ro lưu ký trên sàn: Kiểm soát nội bộ chiếm 80-90% nguồn cung token đe dọa bảo toàn tài sản nhà đầu tư

Lưu ký tài sản số trên sàn giao dịch hiện tiềm ẩn rủi ro tập trung rất lớn, có thể làm vô hiệu hóa mọi cơ chế bảo vệ nhà đầu tư. Thực tế tại PIPPIN cho thấy: địa chỉ nội bộ đang kiểm soát khoảng 80% nguồn cung token, tương đương 380 triệu USD chỉ nằm trong một hệ thống quản trị duy nhất.

Hướng dẫn mới của SEC nhấn mạnh: khi địa chỉ nội bộ kiểm soát quá lớn nguồn cung, rủi ro hệ thống sẽ vượt xa tiêu chuẩn thông thường. Khi đó, cấu trúc lưu ký bị phá vỡ hoàn toàn—nhà đầu tư không thể kiểm chứng thanh khoản thật hay cơ chế hình thành giá. Việc thiếu mạng lưới thanh toán ngoài sàn và phân tách lưu ký khiến tiền của người dùng luôn nằm trong vùng rủi ro kiểm soát nội bộ.

Các sàn giao dịch lớn hiện đã triển khai giải pháp thanh khoản đa nền tảng và lưu ký tích hợp để giảm thiểu nguy cơ tập trung. Nhà đầu tư cần cân nhắc: đơn vị lưu ký phải công khai minh bạch quyền sở hữu, triển khai lưu trữ lạnh cho phần lớn tài sản và thực hiện phân tách rõ ràng tài sản khách hàng. Nếu không có các điều kiện này, bảo toàn tiền gửi chỉ là lý thuyết, không có gì đảm bảo.