3.28 tỷ đô la thiệt hại và sự trỗi dậy của stablecoin Nga: Báo cáo CertiK tiết lộ thách thức kép về bảo mật và tuân thủ của stablecoin

Gần đây, CertiK, công ty bảo mật Web3 lớn nhất thế giới, đã công bố "Báo cáo về mối đe dọa Stablecoin Skynet 2026", phân tích một cách có hệ thống hai thách thức cốt lõi mà hệ sinh thái stablecoin hiện tại đang phải đối mặt: Một mặt, kể từ đầu năm 2026, các sự cố bảo mật liên quan đến cầu nối xuyên chuỗi đã gây ra thiệt hại hơn 328 triệu đô la, khi những kẻ tấn công đang chuyển mục tiêu từ lỗ hổng hợp đồng thông minh sang cầu nối xuyên chuỗi, hệ thống lưu ký và cơ sở hạ tầng thanh toán; mặt khác, stablecoin Ruble Nga A7A5 đã đạt tổng khối lượng giao dịch tích lũy hơn 110 tỷ đô la kể từ khi ra mắt và đang trở thành một công cụ cốt lõi để trốn tránh các lệnh trừng phạt cấp quốc gia.

Báo cáo nhấn mạnh rằng hai mối đe dọa này đan xen lẫn nhau, khiến bảo mật stablecoin không còn nằm trong phạm vi rủi ro đầu cơ tài sản tiền điện tử ban đầu nữa, mà đã leo thang thành thách thức mang tính hệ thống liên quan trực tiếp đến mạng lưới thanh toán toàn cầu và sự an toàn của hệ thống tài chính xuyên biên giới.

Từ lỗ hổng mã nguồn đến tấn công hạ tầng

Trong vài năm qua, các cuộc tấn công của hacker thường tập trung vào các lỗ hổng hợp đồng thông minh. Tuy nhiên, khi stablecoin dần trở thành phương tiện quan trọng cho thanh khoản xuyên chuỗi và thanh toán toàn cầu, mục tiêu của những kẻ tấn công cũng bắt đầu chuyển dịch sang các lớp cơ sở hạ tầng quan trọng hơn, có giá trị cao hơn.

Báo cáo cho thấy, chỉ tính riêng từ đầu năm 2026, các sự cố bảo mật liên quan đến cầu nối xuyên chuỗi đã gây ra thiệt hại hơn 328 triệu đô la. Trong đó, vụ rò rỉ ví Kelp DAO xảy ra vào tháng 4 đã gây thiệt hại lên tới 291 triệu đô la chỉ trong một lần, trở thành một trong những sự kiện liên quan đến cầu nối xuyên chuỗi lớn nhất tính đến nay trong năm nay.

Báo cáo của CertiK cho rằng cầu nối xuyên chuỗi và các giao thức tương tác vẫn là một trong những điểm dễ tổn thương nhất trong toàn bộ hệ sinh thái stablecoin. Vì thanh khoản stablecoin được phân tán giữa các blockchain và mạng Layer 2 khác nhau, cầu nối xuyên chuỗi đảm nhận chức năng cốt lõi của việc chuyển giao giá trị. Một khi các nút xác thực, cơ chế xác minh tin nhắn hoặc hệ thống đa chữ ký gặp sự cố, rủi ro có thể nhanh chóng lan rộng ra nhiều hệ sinh thái.

Đáng chú ý, rò rỉ ví đang thay thế các lỗ hổng mã nguồn truyền thống để trở thành mục tiêu tấn công chính.

Theo thống kê của báo cáo, nhiều sự cố bảo mật DeFi lớn trong năm nay đều liên quan đến việc quản lý khóa riêng tư kém hiệu quả, khiếm khuyết kiểm soát truy cập và các vấn đề bảo mật ở lớp vận hành. Những kẻ tấn công ngày càng có xu hướng bỏ qua logic trên chuỗi phức tạp và tấn công trực tiếp vào hệ thống lưu ký, kiến trúc kho bạc và quy trình vận hành.

"Vấn đề bảo mật stablecoin ngày càng trở nên giống với các vấn đề bảo mật tài chính truyền thống." Báo cáo chỉ ra rằng khi stablecoin thâm nhập sâu vào hệ thống thanh toán và các kịch bản kinh doanh thể chế, các nhà cung cấp dịch vụ KYC, API thanh toán, hệ thống sàng lọc trừng phạt và cơ sở hạ tầng xác minh danh tính cũng bắt đầu trở thành mục tiêu tấn công.

A7A5: Một nền kinh tế "chống trừng phạt" với quy mô hơn 110 tỷ đô la

So với các cuộc tấn công kỹ thuật, mối quan tâm lớn hơn của báo cáo đến từ A7A5.

A7A5 là một stablecoin được hỗ trợ bởi đồng Ruble Nga, ra mắt vào đầu năm 2025. Báo cáo cho biết stablecoin này được xây dựng bởi nền tảng thanh toán xuyên biên giới A7 Network của Nga và được hỗ trợ bởi các tổ chức như ngân hàng quốc doanh Nga Promsvyazbank (PSB).

Theo phân tích dữ liệu trên chuỗi, trong vòng chưa đầy một năm kể từ khi ra mắt, tổng khối lượng giao dịch trên chuỗi tích lũy của A7A5 đã vượt quá 110 tỷ đô la, chiếm khoảng 43% thị phần stablecoin không phải đô la Mỹ trên toàn cầu.

Báo cáo cho rằng tầm quan trọng của A7A5 không nằm ở quy mô mà nằm ở việc nó thể hiện một mô hình stablecoin hoàn toàn mới - sử dụng công nghệ stablecoin để xây dựng một mạng lưới thanh toán xuyên biên giới không chịu ảnh hưởng của hệ thống tài chính phương Tây.

Sau khi sàn giao dịch Garantex bị cơ quan thực thi pháp luật Hoa Kỳ trấn áp vào năm 2025, A7A5 nhanh chóng trở thành công cụ thanh khoản quan trọng cho nền kinh tế tiền điện tử Nga. Báo cáo cho biết hệ thống này đã vay mượn mô hình USDT về mặt thiết kế, nhưng đặt hoàn toàn việc phát hành, quản lý dự trữ và kiểm soát tuân thủ bên ngoài phạm vi quản lý của phương Tây.

Báo cáo chỉ ra rằng điều này có nghĩa là stablecoin không chỉ là công cụ thanh toán, mà còn có thể trở thành một biến số quan trọng trong địa chính trị và hệ thống trừng phạt quốc tế.

Stablecoin đang bước vào giai đoạn "đối đầu cấp quốc gia"

Sự phát triển của A7A5 cũng đã kích hoạt các hành động phối hợp từ các cơ quan quản lý của nhiều quốc gia.

Báo cáo cho thấy Liên minh châu Âu lần đầu tiên đưa A7A5 trực tiếp vào khuôn khổ trừng phạt vào năm 2025, trở thành loại tiền điện tử đầu tiên trên thế giới bị đưa vào lệnh cấm giao dịch một cách rõ ràng. Sau đó, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ và Văn phòng Thực thi Trừng phạt Tài chính (OFSI) của Anh cũng đã áp dụng các lệnh trừng phạt đối với các thực thể liên quan.

Đồng thời, vào năm 2026, EU đã mở rộng phạm vi quản lý hơn nữa, chuyển từ nhắm mục tiêu vào một dự án duy nhất sang áp dụng lệnh cấm phân loại đối với toàn bộ hệ sinh thái dịch vụ tiền điện tử của Nga.

Tuy nhiên, dữ liệu trên chuỗi cho thấy các biện pháp này không ngăn chặn được sự phát triển của A7A5 một cách triệt để. Từ tháng 2 năm 2025 đến tháng 5 năm 2026, số lượng địa chỉ nắm giữ A7A5 đã tăng từ khoảng 13.000 lên khoảng 29.000. Xung quanh nhiều thời điểm áp dụng lệnh trừng phạt, dữ liệu trên chuỗi không cho thấy sự sụt giảm đáng kể.

Báo cáo chỉ ra rằng điều này phản ánh những hạn chế rõ ràng của hệ thống trừng phạt toàn cầu hiện tại khi đối mặt với các mạng lưới tài chính trên chuỗi. Khi nhóm người dùng chủ yếu nằm ngoài phạm vi ảnh hưởng thực thi pháp luật của phương Tây, hiệu quả thực tế của các biện pháp trừng phạt truyền thống có thể bị suy giảm đáng kể.

Báo cáo cũng đề cập rằng Mạng lưới A7 hiện đã bắt đầu mở rộng sang thị trường châu Phi: Nga đã mời một số quốc gia châu Phi tham gia mạng lưới thanh toán A7, thành lập văn phòng tại Nigeria và Zimbabwe, và có kế hoạch xây dựng một hành lang tài chính ở miền nam châu Phi. Nếu các mạng lưới liên quan mở rộng hơn nữa, các tổ chức tài chính địa phương có thể vô tình phát sinh giao dịch kinh doanh với các thực thể nằm trong hệ thống bị trừng phạt, do đó phải đối mặt với rủi ro trừng phạt thứ cấp tiềm ẩn từ phương Tây.

Kết luận và khuyến nghị tuân thủ ngành

Báo cáo kết luận rằng bối cảnh mối đe dọa stablecoin năm 2026 đã cho thấy đặc điểm "tiến hóa kép": Về mặt kỹ thuật, các hoạt động tấn công đang chuyển từ lỗ hổng giao thức sang cơ sở hạ tầng tài chính; về mặt địa chính trị, stablecoin đang bắt đầu được sử dụng để xây dựng mạng lưới thanh toán mới độc lập với hệ thống tài chính truyền thống.

Trong phần cuối của báo cáo, CertiK khuyến nghị rằng các doanh nghiệp và tổ chức tài chính không thể chỉ dựa vào việc đối chiếu tên của các thực thể trong danh sách trừng phạt chính thức, mà phải áp dụng một tư thế phòng thủ chủ động hơn:

● Rà soát rõ ràng các địa chỉ hợp đồng chưa có trong danh sách: Tính đến thời điểm công bố báo cáo, OFAC vẫn chưa đưa địa chỉ hợp đồng thông minh của A7A5 vào danh sách trừng phạt Công dân Đặc biệt Bị chỉ định (SDN). Các tổ chức tài chính nên chủ động nhập địa chỉ Ethereum (0x6fA0BE17e4beA2fCfA22ef89BF8ac9aab0AB0fc9) và địa chỉ Tron (TLeVfrdym8RoJreJ23dAGyfJDygRtiWKBZ) vào hệ thống sàng lọc nội bộ của họ.

● Đánh giá lại mức độ rủi ro đối với các ngân hàng đại lý tại các khu vực có nguy cơ cao: Các tổ chức tài chính có hoạt động ngân hàng đại lý tại các khu vực pháp lý mà A7A5 hoạt động mạnh như Nigeria, Zimbabwe, Kyrgyzstan, cần kiểm tra chặt chẽ xem các đối tác giao dịch địa phương có liên quan đến các thực thể liên kết ngầm của nó hay không.

● Chuyển trọng tâm bảo mật sang lớp vận hành: Với việc rò rỉ ví và quản lý khóa riêng tư đã trở thành rủi ro vận hành chính, các doanh nghiệp phải thường xuyên thực hiện các cuộc kiểm toán độc lập của bên thứ ba để tăng cường toàn diện logic truyền tin nhắn xuyên chuỗi, nút xác thực và kiểm soát đa chữ ký.

Rõ ràng, vấn đề bảo mật stablecoin năm 2026 đã vượt ra khỏi phạm vi hẹp của các ứng dụng tiền điện tử ban đầu. Bảo mật stablecoin không còn chỉ là vấn đề của ngành công nghiệp blockchain nữa, mà đang trở thành một vấn đề quan trọng trong quản lý rủi ro của cơ sở hạ tầng tài chính toàn cầu.

Toàn văn báo cáo: https://indd.adobe.com/view/c10a9bca-6be9-4272-83ed-ec9fc631b48f