Công ty Step Finance mất 30 triệu đô la do bị xâm phạm ví tiền điện tử

Chuyện gì đã xảy ra vào cuối tuần

Theo các báo cáo ban đầu, kẻ tấn công đã xâm nhập vào các ví được liên kết với kho bạc dự án của Step Finance, thay vì khai thác hợp đồng thông minh hoặc rút cạn số dư của người dùng. Sự khác biệt này rất quan trọng. Các vụ xâm phạm kho bạc thường chỉ ra những lỗi quản lý khóa, môi trường ký bị xâm phạm hoặc những sai sót trong hoạt động nội bộ — những lĩnh vực nằm ngoài phạm vi kiểm toán mã trên chuỗi và thiết kế giao thức.

Step Finance — bảng điều khiển danh mục đầu tư và công cụ tổng hợp DeFi phổ biến dựa trên Solana — đã phải chịu một vụ vi phạm an ninh nghiêm trọng dẫn đến mất khoảng 30 triệu đô la từ kho bạc và ví đa chữ ký của mình. Sự việc đã được nhóm Step Finance công khai thừa nhận thông qua một bài đăng chính thức trên diễn đàn X và blog vào sáng sớm ngày 29 tháng 1 năm 2026. Diễn biến sự việc (Dòng thời gian & Chi tiết):

• Thời gian xảy ra sự cố: Cuối ngày 28 tháng 1 năm 2026 (UTC)

• Ví bị ảnh hưởng: Ví kho bạc chính đa chữ ký (thiết lập 5/9) và một số ví nóng đang hoạt động

• Tài sản bị đánh cắp: Hỗn hợp SOL, USDC, USDT, JUP, RAY, BONK và các token gốc Solana khác

• Ước tính thiệt hại: ~29,8–30,2 triệu đô la Mỹ (dựa trên giá thời gian thực tại thời điểm bị đánh cắp)

Phương thức tấn công (theo tuyên bố ban đầu của nhóm): Nghi ngờ xâm phạm một hoặc nhiều khóa chữ ký (có thể thông qua phần mềm độc hại đánh cắp thông tin hoặc tấn công chuỗi cung ứng vào thiết bị ký). Kẻ tấn công đã thực hiện một loạt các giao dịch chuyển tiền lớn, phối hợp đến một cụm ví mới. Tiền được chuyển nhanh chóng sang Ethereum và sau đó phân tán thông qua các bộ trộn kiểu Tornado Cash và các cầu nối chuỗi chéo.

Giao dịch trái phép đầu tiên diễn ra vào khoảng 03:17 UTC. Phần lớn tiền (~27 triệu đô la) đã được chuyển trong vòng 12 phút. Khoảng 3 triệu đô la còn lại bị rút ruột trong các đợt chuyển tiền tiếp theo trong 45 phút sau đó. Không có bằng chứng về việc bị xâm phạm ở phía giao diện người dùng (giả mạo giao diện người dùng hoặc lừa đảo người dùng).

Tại sao xâm phạm ví quỹ lại nguy hiểm

Quỹ quỹ đại diện cho nguồn tài chính dự phòng của một dự án—được sử dụng để trả lương cho nhà phát triển, tài trợ hoạt động, hỗ trợ thanh khoản và duy trì các ưu đãi trong hệ sinh thái. Mất 30 triệu đô la trong một sự kiện duy nhất có thể làm thay đổi đáng kể quỹ đạo chiến lược của dự án, ngay cả khi tiền của người dùng không bị ảnh hưởng.

Không giống như các vụ tấn công DeFi, nơi mà tổn thất đôi khi có thể được chia sẻ hoặc phục hồi thông qua các thay đổi giao thức, việc xâm phạm quỹ quỹ thường dẫn đến thiệt hại không thể khắc phục đối với bảng cân đối kế toán.

Đối với Step Finance, thách thức trước mắt là tính liên tục của hoạt động. Việc mất quỹ ở mức độ này có thể buộc phải đưa ra những quyết định khó khăn liên quan đến chi tiêu, phát triển sản phẩm, quan hệ đối tác và kế hoạch tăng trưởng dài hạn. Ngay cả khi nền tảng cốt lõi vẫn hoạt động, tính linh hoạt về tài chính sẽ bị giảm sút và niềm tin của các đối tác và người nắm giữ token có thể bị thử thách.

Đánh giá và kết luận

Vụ tấn công mạng Step Finance trị giá 30 triệu đô la là lời nhắc nhở rõ ràng rằng ngay cả những dự án DeFi lâu đời với mã nguồn được kiểm toán và quản trị đa chữ ký cũng dễ bị tổn thương khi khóa chữ ký bị xâm phạm. Không giống như các vụ tấn công cầu nối hay giao thức, đây gần như chắc chắn là lỗi quản lý khóa — điểm yếu lớn nhất trong hầu hết các kho bạc tiền điện tử.

Đối với hệ sinh thái Solana, sự cố này tạo ra rủi ro lây lan ngắn hạn (sự hoang mang về các giao thức tích hợp) nhưng cũng tạo áp lực dài hạn để áp dụng các biện pháp bảo mật tiên tiến hơn (ví MPC, khóa thời gian, tính toán đa bên, cách ly phần cứng). Khả năng tồn tại của Step Finance sẽ phụ thuộc vào việc truyền đạt thông tin minh bạch, kế hoạch bồi thường đáng tin cậy và việc nhanh chóng khôi phục niềm tin của người dùng.

Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này là nhận định cá nhân của tác giả trong lĩnh vực tiền mã hóa. Đây hoàn toàn không phải là lời khuyên tài chính hay đầu tư. Mọi quyết định đầu tư đều nên dựa trên sự cân nhắc kỹ lưỡng danh mục cá nhân và mức độ chấp nhận rủi ro của bạn. Quan điểm trong bài viết không đại diện cho lập trường chính thức của nền tảng. Chúng tôi khuyến nghị người đọc tự nghiên cứu và tham khảo ý kiến chuyên gia trước khi đưa ra bất kỳ quyết định đầu tư nào.

Tổng hợp và phân tích bởi HCCVenture

Theo dõi tổ chức HCCVenture tại đây : https://link3.to/holdcoincventure