Lỗ hổng bảo mật trong hợp đồng thông minh 0G đã gây ra sự cố mất cắp 520.010 token vào tháng 12 năm 2023 là gì?

Lỗ hổng CVE-2025-66478 trong Next.js: Lộ khóa riêng Alibaba Cloud dẫn đến vụ trộm 520.010 token

Lỗ hổng thực thi mã từ xa nghiêm trọng CVE-2025-66478 trên các phiên bản Next.js trước 14.0 đặt ra nguy cơ lớn đối với ứng dụng web, nhất là khi đi kèm thông tin xác thực bị đánh cắp. Lỗ hổng này lợi dụng việc giải tuần tự không an toàn trong React Server Components, cho phép kẻ tấn công thực thi mã tùy ý thông qua các yêu cầu HTTP được thiết kế đặc biệt gửi đến các endpoint Server Function. Mức điểm CVSS 9,8 thể hiện rủi ro ở diện rộng, khi ngay cả cấu hình mặc định của Next.js cũng vẫn dễ bị tấn công nếu không có điều chỉnh mã nguồn.

Khi thông tin xác thực hạ tầng bị lộ, ví dụ như sự cố lộ khóa riêng Alibaba Cloud vào tháng 09 năm 2022, phạm vi tấn công tăng mạnh. Thông tin xác thực lưu ở nơi không bảo vệ tạo điều kiện cho kẻ tấn công truy cập trực tiếp tới tài nguyên đám mây và hệ thống nội bộ. Với sự cố của 0G Labs, sự kết hợp này dẫn đến hậu quả nghiêm trọng: 520.010 token, trị giá khoảng 516.000 USD, đã bị amount khỏi hợp đồng phần thưởng của dự án.

Chuỗi khai thác cho thấy nhiều lỗi bảo mật khi cộng gộp sẽ gây ra thảm họa. Kẻ tấn công sử dụng lỗ hổng Next.js để chiếm quyền thực thi mã, rồi tận dụng thông tin xác thực Alibaba Cloud bị lộ để truy cập hệ thống nhạy cảm và tương tác với hợp đồng thông minh. Phân tích on-chain xác nhận vụ tấn công, chỉ rõ vector tấn công qua kỹ thuật prototype pollution vượt qua kiểm soát bảo mật. Sự cố này nhấn mạnh tầm quan trọng của việc nâng cấp Next.js lên từ phiên bản 14.0, quản lý thông tin xác thực nghiêm ngặt và xoay vòng toàn bộ mã xác thực bị lộ ngay lập tức. Tổ chức cần xây dựng phòng thủ nhiều lớp, kết hợp vá bảo mật ứng dụng với bảo vệ hạ tầng toàn diện để tránh các sự cố dây chuyền.

Hàm rút khẩn cấp bị khai thác: Lỗi thiết kế hợp đồng thông minh cho phép kẻ tấn công vượt kiểm soát quyền truy cập

Quỹ ZeroGravity (0G) xác nhận một sự cố bảo mật nghiêm trọng, khi kẻ tấn công lợi dụng lỗ hổng trong hàm rút khẩn cấp. Nguyên nhân xuất phát từ việc kiểm soát quyền truy cập chưa được triển khai đúng trong kiến trúc hợp đồng thông minh. Kẻ tấn công vượt qua cơ chế ủy quyền và thực hiện rút khẩn cấp trái phép, vốn chỉ nên dành cho các bên có thẩm quyền. Hệ quả là hơn 520.000 token 0G bị đánh cắp, gây tổn thất lớn cho dự trữ của giao thức.

Tuy nhiên, sự việc này cho thấy điểm khác biệt quan trọng về an toàn tài sản người dùng. Dù hàm rút khẩn cấp bị xâm phạm, tài sản cốt lõi của người dùng lưu tại ví cá nhân vẫn được bảo toàn tuyệt đối, không bị ảnh hưởng bởi lỗ hổng. Token bị đánh cắp sau đó được chuyển sang blockchain khác và rửa qua Tornado Cash, công cụ trộn giúp che giấu nguồn gốc giao dịch. Hành vi kỹ thuật này cho thấy ý đồ xóa dấu vết tài sản và ngăn truy xuất nguồn. Sự cố này khẳng định thách thức liên tục trong bảo mật hợp đồng thông minh, nhất là với kiểm soát quyền truy cập và thiết kế chức năng quản trị. Dự án cần xác thực kiểm soát truy cập chặt chẽ và yêu cầu đa chữ ký cho các chức năng khẩn cấp để ngăn lặp lại kịch bản này.

Rủi ro hạ tầng tập trung: Phụ thuộc dịch vụ đám mây bên thứ ba tạo cửa hậu bất chấp kiến trúc blockchain phi tập trung

Ngành blockchain vốn nhấn mạnh đặc tính phi tập trung, song lại phụ thuộc lớn vào nhà cung cấp hạ tầng đám mây tập trung. Sự phụ thuộc này khiến xuất hiện các lỗ hổng bảo mật nghiêm trọng, đe dọa giá trị cốt lõi của blockchain. Dịch vụ đám mây bên thứ ba mang lại nhiều rủi ro như rò rỉ dữ liệu, lỗ hổng API và cấu hình sai, đi ngược lý tưởng phi tập trung.

Các sự cố bảo mật năm 2025 đã phơi bày rõ các điểm yếu này. Sự cố AWS vào tháng 10 khiến các nền tảng tiền mã hóa lớn và dịch vụ phân tích bị tê liệt chỉ trong vài giờ; còn sự cố Cloudflare sau đó làm gián đoạn nhiều ứng dụng blockchain trên toàn cầu. Những sự kiện này cho thấy mạng phi tập trung vẫn có thể trở thành điểm lỗi đơn khi phụ thuộc vào hạ tầng tập trung.

Bên cạnh các sự cố ngừng dịch vụ, sự phụ thuộc kiến trúc còn tạo cửa hậu qua API thiếu an toàn, lộ thông tin xác thực và các phụ thuộc dễ bị khai thác. Các tổ chức tài chính và nền tảng blockchain chia sẻ trách nhiệm bảo mật, nhưng thường thiếu kiểm soát đối với cấu hình dịch vụ đám mây bên thứ ba. Điểm yếu cấu trúc này tồn tại bất chấp các tuyên bố về phi tập trung, phơi bày mâu thuẫn nền tảng, đe dọa sự ổn định hệ sinh thái và an toàn tài sản người dùng.

Giảm thiểu sau sự cố: Phản ứng của Quỹ 0G với xoay vòng khóa riêng, triển khai Trusted Execution Environment và bảo vệ hạ tầng cốt lõi

Sau sự cố bảo mật, Quỹ 0G áp dụng chiến lược giảm thiểu tổng lực nhằm tăng cường độ bền và bảo mật mạng lưới. Ngay lập tức, quỹ thu hồi các khóa mật mã bị lộ và triển khai quy trình xoay vòng khóa riêng, ngăn truy cập trái phép, đảm bảo bảo vệ liên tục cho các hoạt động nhạy cảm. Song song, công nghệ Trusted Execution Environment được tích hợp vào kiến trúc, cho phép xử lý an toàn trong môi trường phần cứng cách ly, bảo vệ trước cả các lỗ hổng bên ngoài lẫn nội bộ. Giải pháp này đáp ứng khoảng 60% thực tiễn bảo mật hàng đầu, thể hiện cam kết của quỹ với các biện pháp phòng vệ hiệu quả. Ngoài ra, Quỹ 0G còn củng cố hạ tầng lõi bằng kiến trúc zero-trust, áp đặt yêu cầu xác thực nghiêm ngặt với mọi thành viên và giao tiếp trên mạng. Các biện pháp này—xoay vòng khóa riêng, triển khai TEE và hạ tầng zero-trust—kết hợp tạo thành nhiều lớp phòng thủ. Phản ứng sau sự cố của quỹ cho thấy hiểu biết sâu sắc về bảo mật blockchain và cam kết bảo vệ toàn vẹn hệ sinh thái cho mọi đối tượng liên quan.

Câu hỏi thường gặp

0G crypto là gì?

0G là blockchain Layer-1 dạng mô-đun, được thiết kế để phi tập trung hóa hạ tầng AI. 0G kết hợp lưu trữ mở rộng và khả năng tính toán xác thực, giúp triển khai AI on-chain và quản lý dữ liệu hiệu quả.

0G coin hiện giá bao nhiêu?

Giá 0G coin hiện là 1,13 USD, tăng 32,15% trong 24 giờ qua. Khối lượng giao dịch 24 giờ đạt 169.412.303 USD, cho thấy thị trường sôi động và nhà đầu tư quan tâm mạnh mẽ tới hệ sinh thái 0G.

Tương lai của 0G Labs thế nào?

0G Labs hướng tới giúp người dùng sở hữu, kiểm soát và khai thác giá trị từ mô hình AI của mình một cách độc lập, giảm phụ thuộc vào Big Tech, mở rộng sự tham gia toàn cầu vào nền kinh tế AI.