Tìm hiểu chi tiết về lỗ hổng hợp đồng thông minh trên nền tảng 0G khiến 520.010 token bị đánh cắp. Phân tích cách các chức năng rút tiền khẩn cấp thiết kế kém và sự phụ thuộc vào hạ tầng đám mây tập trung đã đẩy an ninh blockchain vào nguy cơ bị đe doạ. Khám phá chiến lược ứng phó của 0G Foundation, bao gồm xoay vòng khóa cá nhân và triển khai Môi trường Thực thi Đáng tin cậy (Trusted Execution Environment), nhằm đảm bảo tính toàn vẹn cho mạng lưới. Bài viết dành cho các nhà quản lý an ninh, chuyên gia kiểm soát rủi ro và lãnh đạo có nhu cầu cập nhật các sự kiện liên quan đến an ninh và rủi ro.
Lỗ hổng CVE-2025-66478 trong Next.js: Lộ khóa riêng Alibaba Cloud dẫn đến vụ trộm 520.010 token
Lỗ hổng thực thi mã từ xa nghiêm trọng CVE-2025-66478 trên các phiên bản Next.js trước 14.0 đặt ra nguy cơ lớn đối với ứng dụng web, nhất là khi đi kèm thông tin xác thực bị đánh cắp. Lỗ hổng này lợi dụng việc giải tuần tự không an toàn trong React Server Components, cho phép kẻ tấn công thực thi mã tùy ý thông qua các yêu cầu HTTP được thiết kế đặc biệt gửi đến các endpoint Server Function. Mức điểm CVSS 9,8 thể hiện rủi ro ở diện rộng, khi ngay cả cấu hình mặc định của Next.js cũng vẫn dễ bị tấn công nếu không có điều chỉnh mã nguồn.
Khi thông tin xác thực hạ tầng bị lộ, ví dụ như sự cố lộ khóa riêng Alibaba Cloud vào tháng 09 năm 2022, phạm vi tấn công tăng mạnh. Thông tin xác thực lưu ở nơi không bảo vệ tạo điều kiện cho kẻ tấn công truy cập trực tiếp tới tài nguyên đám mây và hệ thống nội bộ. Với sự cố của 0G Labs, sự kết hợp này dẫn đến hậu quả nghiêm trọng: 520.010 token, trị giá khoảng 516.000 USD, đã bị amount khỏi hợp đồng phần thưởng của dự án.
Chuỗi khai thác cho thấy nhiều lỗi bảo mật khi cộng gộp sẽ gây ra thảm họa. Kẻ tấn công sử dụng lỗ hổng Next.js để chiếm quyền thực thi mã, rồi tận dụng thông tin xác thực Alibaba Cloud bị lộ để truy cập hệ thống nhạy cảm và tương tác với hợp đồng thông minh. Phân tích on-chain xác nhận vụ tấn công, chỉ rõ vector tấn công qua kỹ thuật prototype pollution vượt qua kiểm soát bảo mật. Sự cố này nhấn mạnh tầm quan trọng của việc nâng cấp Next.js lên từ phiên bản 14.0, quản lý thông tin xác thực nghiêm ngặt và xoay vòng toàn bộ mã xác thực bị lộ ngay lập tức. Tổ chức cần xây dựng phòng thủ nhiều lớp, kết hợp vá bảo mật ứng dụng với bảo vệ hạ tầng toàn diện để tránh các sự cố dây chuyền.
Hàm rút khẩn cấp bị khai thác: Lỗi thiết kế hợp đồng thông minh cho phép kẻ tấn công vượt kiểm soát quyền truy cập
Quỹ ZeroGravity (0G) xác nhận một sự cố bảo mật nghiêm trọng, khi kẻ tấn công lợi dụng lỗ hổng trong hàm rút khẩn cấp. Nguyên nhân xuất phát từ việc kiểm soát quyền truy cập chưa được triển khai đúng trong kiến trúc hợp đồng thông minh. Kẻ tấn công vượt qua cơ chế ủy quyền và thực hiện rút khẩn cấp trái phép, vốn chỉ nên dành cho các bên có thẩm quyền. Hệ quả là hơn 520.000 token 0G bị đánh cắp, gây tổn thất lớn cho dự trữ của giao thức.
Tuy nhiên, sự việc này cho thấy điểm khác biệt quan trọng về an toàn tài sản người dùng. Dù hàm rút khẩn cấp bị xâm phạm, tài sản cốt lõi của người dùng lưu tại ví cá nhân vẫn được bảo toàn tuyệt đối, không bị ảnh hưởng bởi lỗ hổng. Token bị đánh cắp sau đó được chuyển sang blockchain khác và rửa qua Tornado Cash, công cụ trộn giúp che giấu nguồn gốc giao dịch. Hành vi kỹ thuật này cho thấy ý đồ xóa dấu vết tài sản và ngăn truy xuất nguồn. Sự cố này khẳng định thách thức liên tục trong bảo mật hợp đồng thông minh, nhất là với kiểm soát quyền truy cập và thiết kế chức năng quản trị. Dự án cần xác thực kiểm soát truy cập chặt chẽ và yêu cầu đa chữ ký cho các chức năng khẩn cấp để ngăn lặp lại kịch bản này.
Rủi ro hạ tầng tập trung: Phụ thuộc dịch vụ đám mây bên thứ ba tạo cửa hậu bất chấp kiến trúc blockchain phi tập trung
Ngành blockchain vốn nhấn mạnh đặc tính phi tập trung, song lại phụ thuộc lớn vào nhà cung cấp hạ tầng đám mây tập trung. Sự phụ thuộc này khiến xuất hiện các lỗ hổng bảo mật nghiêm trọng, đe dọa giá trị cốt lõi của blockchain. Dịch vụ đám mây bên thứ ba mang lại nhiều rủi ro như rò rỉ dữ liệu, lỗ hổng API và cấu hình sai, đi ngược lý tưởng phi tập trung.
Các sự cố bảo mật năm 2025 đã phơi bày rõ các điểm yếu này. Sự cố AWS vào tháng 10 khiến các nền tảng tiền mã hóa lớn và dịch vụ phân tích bị tê liệt chỉ trong vài giờ; còn sự cố Cloudflare sau đó làm gián đoạn nhiều ứng dụng blockchain trên toàn cầu. Những sự kiện này cho thấy mạng phi tập trung vẫn có thể trở thành điểm lỗi đơn khi phụ thuộc vào hạ tầng tập trung.
Bên cạnh các sự cố ngừng dịch vụ, sự phụ thuộc kiến trúc còn tạo cửa hậu qua API thiếu an toàn, lộ thông tin xác thực và các phụ thuộc dễ bị khai thác. Các tổ chức tài chính và nền tảng blockchain chia sẻ trách nhiệm bảo mật, nhưng thường thiếu kiểm soát đối với cấu hình dịch vụ đám mây bên thứ ba. Điểm yếu cấu trúc này tồn tại bất chấp các tuyên bố về phi tập trung, phơi bày mâu thuẫn nền tảng, đe dọa sự ổn định hệ sinh thái và an toàn tài sản người dùng.
Giảm thiểu sau sự cố: Phản ứng của Quỹ 0G với xoay vòng khóa riêng, triển khai Trusted Execution Environment và bảo vệ hạ tầng cốt lõi
Sau sự cố bảo mật, Quỹ 0G áp dụng chiến lược giảm thiểu tổng lực nhằm tăng cường độ bền và bảo mật mạng lưới. Ngay lập tức, quỹ thu hồi các khóa mật mã bị lộ và triển khai quy trình xoay vòng khóa riêng, ngăn truy cập trái phép, đảm bảo bảo vệ liên tục cho các hoạt động nhạy cảm. Song song, công nghệ Trusted Execution Environment được tích hợp vào kiến trúc, cho phép xử lý an toàn trong môi trường phần cứng cách ly, bảo vệ trước cả các lỗ hổng bên ngoài lẫn nội bộ. Giải pháp này đáp ứng khoảng 60% thực tiễn bảo mật hàng đầu, thể hiện cam kết của quỹ với các biện pháp phòng vệ hiệu quả. Ngoài ra, Quỹ 0G còn củng cố hạ tầng lõi bằng kiến trúc zero-trust, áp đặt yêu cầu xác thực nghiêm ngặt với mọi thành viên và giao tiếp trên mạng. Các biện pháp này—xoay vòng khóa riêng, triển khai TEE và hạ tầng zero-trust—kết hợp tạo thành nhiều lớp phòng thủ. Phản ứng sau sự cố của quỹ cho thấy hiểu biết sâu sắc về bảo mật blockchain và cam kết bảo vệ toàn vẹn hệ sinh thái cho mọi đối tượng liên quan.
Câu hỏi thường gặp
0G crypto là gì?
0G là blockchain Layer-1 dạng mô-đun, được thiết kế để phi tập trung hóa hạ tầng AI. 0G kết hợp lưu trữ mở rộng và khả năng tính toán xác thực, giúp triển khai AI on-chain và quản lý dữ liệu hiệu quả.
0G coin hiện giá bao nhiêu?
Giá 0G coin hiện là 1,13 USD, tăng 32,15% trong 24 giờ qua. Khối lượng giao dịch 24 giờ đạt 169.412.303 USD, cho thấy thị trường sôi động và nhà đầu tư quan tâm mạnh mẽ tới hệ sinh thái 0G.
Tương lai của 0G Labs thế nào?
0G Labs hướng tới giúp người dùng sở hữu, kiểm soát và khai thác giá trị từ mô hình AI của mình một cách độc lập, giảm phụ thuộc vào Big Tech, mở rộng sự tham gia toàn cầu vào nền kinh tế AI.
* Thông tin không nhằm mục đích và không cấu thành lời khuyên tài chính hay bất kỳ đề xuất nào được Gate cung cấp hoặc xác nhận.
