Phát hiện các lỗ hổng bảo mật nghiêm trọng tại Pi Network: 4,4 triệu PI đã bị chiếm đoạt bằng kỹ thuật xã hội, tiềm ẩn nguy cơ lừa đảo, sai sót xác thực KYC cùng lỗi hợp đồng thông minh đang đe dọa 2 tỷ USD tài sản người dùng. Đây là các kiến thức quản lý rủi ro cần thiết dành cho bộ phận bảo mật doanh nghiệp.
Khai thác kỹ thuật xã hội: 4,4 triệu Pi token bị đánh cắp do lạm dụng yêu cầu thanh toán
Kẻ lừa đảo đã tận dụng tính minh bạch của blockchain Pi Network để tổ chức các cuộc tấn công kỹ thuật xã hội tinh vi nhắm vào chức năng yêu cầu thanh toán của ví. Thông qua việc quét sổ cái công khai, kẻ tấn công xác định các địa chỉ ví có số dư Pi token lớn, rồi gửi các yêu cầu thanh toán không mong muốn đến những tài khoản giá trị này. Chính lỗ hổng trong cơ chế yêu cầu thanh toán đã giúp tội phạm rút hơn 4,4 triệu PI token bằng các chiến dịch phối hợp kéo dài nhiều tháng. Phân tích cho thấy có một địa chỉ nhận từ 700.000 đến 800.000 PI mỗi tháng kể từ tháng 7 năm 2025, chứng tỏ các cuộc tấn công này diễn ra có hệ thống.
Tính hiệu quả của đợt tấn công đã phơi bày những điểm yếu nghiêm trọng trong quy trình xác thực người dùng và xác minh giao dịch của Pi Network. Thay vì áp dụng các giao thức xác minh nghiêm ngặt, kiến trúc nền tảng lại tạo điều kiện để đối tượng xấu thao túng người dùng xác nhận các yêu cầu thanh toán gian lận. Khi các khoản thất thoát gia tăng và cộng đồng cảnh báo về các rủi ro bảo mật hiện hữu, đội ngũ Pi Core Team đã phải can thiệp khẩn cấp. Mạng lưới tạm thời đóng toàn bộ tính năng yêu cầu thanh toán nhằm ngăn chặn tiếp tục thất thoát token – một sự cố bảo mật lớn làm suy giảm niềm tin của người dùng vào cơ chế bảo vệ hiện tại và chỉ ra những lỗ hổng nghiêm trọng trong hạ tầng ví.
Rủi ro lừa đảo và lưu ký: Liên kết DEX giả mạo và lỗ hổng trên sàn tập trung
Các cuộc tấn công lừa đảo vào người dùng Pi Network ngày càng tinh vi hơn, tận dụng các liên kết sàn phi tập trung giả mạo để mạo danh nền tảng hợp pháp, đánh lừa nhà đầu tư. Kẻ gian xây dựng các trang web DEX giả, hiển thị giá Pi và phần thưởng ảo, lừa người dùng nhập thông tin nhạy cảm, gồm cả cụm từ khôi phục ví. Khi thông tin bị đánh cắp, kẻ tấn công lập tức truy cập vào tài sản người dùng mà không cần xác thực thêm. Những liên kết giả này lan truyền qua mạng xã hội và dịch vụ nhắn tin, khai thác niềm tin của người dùng vào các thông báo tưởng như chính thức về giao dịch.
Rủi ro lưu ký trên sàn tập trung còn làm tình hình nghiêm trọng hơn do tài sản Pi bị tập trung vào bên thứ ba. Khi gửi PI token lên sàn, người dùng mất quyền kiểm soát khóa riêng vào tay nhà điều hành sàn. Mô hình lưu ký khiến người dùng phụ thuộc vào hạ tầng bảo mật, năng lực vận hành và tuân thủ quy định của sàn. Lịch sử cho thấy các sàn tập trung vẫn dễ bị hack, quản lý yếu kém hoặc bị can thiệp pháp lý, dẫn đến khóa tài sản của người dùng. Dù có kiểm toán bảo mật hoặc sử dụng đa chữ ký, sàn vẫn đối mặt với rủi ro hệ thống do tấn công phối hợp hoặc lỗi quản lý khóa. Khác với tự lưu ký – nơi người dùng giữ khóa riêng, mô hình lưu ký tập trung tạo một điểm lỗi duy nhất có thể ảnh hưởng đến hàng triệu tài sản. Sự kết hợp giữa nguy cơ lừa đảo và tập trung lưu ký hình thành rủi ro kép, khiến người dùng Pi Network vừa bị nhắm vào ví cá nhân vừa có thể mất tài sản trên sàn do sự cố bảo mật nền tảng.
Sự cố KYC và quyền riêng tư dữ liệu: Nguy cơ kiểm soát tập trung với tài sản người dùng
Cơ sở hạ tầng KYC tập trung là điểm yếu then chốt của hệ sinh thái Pi Network, mở ra nhiều khả năng tổn thất tài sản và rủi ro cho người dùng. Năm qua đã ghi nhận hơn 12.000 trường hợp xác thực danh tính thất bại, cho thấy sự thiếu hiệu quả trong kiểm soát tuân thủ có thể khiến hàng triệu người dùng bị xâm phạm quyền riêng tư dữ liệu. Phần lớn các rủi ro KYC xuất phát từ các tác nhân nội bộ, khi quyền truy cập đặc biệt bị lạm dụng để tiết lộ dữ liệu và thao túng tài khoản trái phép.
Lỗi gốc nằm ở kiểm soát tập trung. Khi một thực thể quản lý dữ liệu KYC và truy cập tài khoản, đối tượng này trở thành đích ngắm của các động thái pháp lý và điều tra. Việc đóng băng tài khoản do tòa án hay cơ quan chức năng có thể khiến tài sản người dùng bị phong tỏa vô thời hạn, đe dọa trực tiếp đến 2 tỷ USD giá trị cộng đồng Pi Network. Nhà băng và sàn giao dịch lưu ký tài sản cũng gánh chịu rủi ro pháp lý nghiêm trọng khi tài sản khách hàng bị khóa hay tịch thu, làm tăng nguy cơ lan truyền hệ thống.
Pi Network hướng đến chuẩn hóa KYC theo các tiêu chuẩn toàn cầu như GDPR, đáp ứng tuân thủ bề mặt nhưng không giải quyết được rủi ro tập trung cốt lõi. Việc xác minh KYC bắt buộc tập trung dữ liệu nhạy cảm vào các kho lưu trữ dễ bị tấn công. Dù các giải pháp phi tập trung và khuôn khổ bảo mật nâng cao được xem là hướng đi tương lai, hệ thống hiện tại vẫn dễ bị tấn công nội bộ, lỗ hổng nhà cung cấp và truy cập trái phép. Tập trung quyền kiểm soát tạo điều kiện lý tưởng cho các kịch bản mất mát quy mô lớn, đe dọa toàn bộ giá trị và niềm tin của người dùng với mạng lưới.
Lỗi thiết kế hợp đồng thông minh: Bất thường trong di chuyển ví và nguy cơ thất thoát 2 tỷ USD
Quá trình di chuyển ví trong kiến trúc hợp đồng thông minh của Pi Network đã làm lộ rõ các lỗ hổng bảo mật nghiêm trọng, vượt qua các rủi ro blockchain truyền thống. Khi người dùng chuyển tài sản lên mainnet sau đợt niêm yết token tháng 2 năm 2025, các hợp đồng thông minh xử lý di chuyển này gặp lỗi thiết kế nghiêm trọng do kiểm tra đầu vào không đầy đủ. Đối tượng xấu có thể khai thác các lỗ hổng này bằng cách gửi dữ liệu giao dịch sai lệch để vượt qua các bước kiểm soát bảo mật vốn có nhiệm vụ ngăn chuyển ví trái phép.
Việc thao túng oracle càng làm tăng rủi ro. Hợp đồng thông minh của Pi Network phụ thuộc vào nguồn dữ liệu giá bên ngoài để thực hiện logic điều kiện trong các thao tác ví. Đối tượng tấn công lợi dụng thanh khoản thấp của PI token trên nhiều sàn, kể cả gate, thực hiện giao dịch nhỏ nhưng ảnh hưởng lớn đến nguồn giá. Các tín hiệu giá thao túng này có thể kích hoạt sai hợp đồng thông minh, chuyển nhầm tài sản người dùng trong quá trình di chuyển. Với 15,7 triệu người dùng đã chuyển tài sản, nguy cơ ảnh hưởng đến hàng tỷ giá trị tiền điện tử là rất lớn.
Nguy cơ thất thoát 2 tỷ USD phản ánh mức độ rủi ro của tổ chức liên quan đến Pi Network. Khi 59% tổ chức tài chính lớn dự định phân bổ tài sản số đáng kể, các lỗ hổng tập trung trên mạng lớn như Pi Network tạo ra rủi ro hệ thống. Bất thường trong di chuyển ví là điển hình cho sự cố nghiêm trọng có thể lan truyền qua các vị thế tổ chức, biến sự cố cục bộ thành bất ổn thị trường rộng lớn. Sự kết hợp giữa lỗi thiết kế và lỗ hổng oracle tạo điều kiện cho một cuộc tấn công quy mô lớn có thể chuyển tài sản trước khi nhà vận hành phát hiện và vá lỗi hợp đồng.
Câu hỏi thường gặp
Những lỗ hổng bảo mật đã được xác định trong hợp đồng thông minh của Pi Network là gì?
Hợp đồng thông minh của Pi Network có nguy cơ gặp các lỗ hổng như tấn công tái nhập, lỗi kiểm soát truy cập và sai lệch logic. Những rủi ro này có thể gây tổn thất lớn. Người dùng nên kiểm toán bảo mật kỹ lưỡng trước khi tương tác với hợp đồng.
Những rủi ro bảo mật lớn nào Pi Network đang đối mặt, ví dụ như tấn công 51% và tấn công vay nhanh?
Pi Network đối mặt với các rủi ro bảo mật chủ yếu như tấn công 51% đe dọa đồng thuận, khai thác vay nhanh vào DeFi, lỗ hổng hợp đồng thông minh, rủi ro chi tiêu kép và nguy cơ tập trung hóa mạng lưới. Những điểm yếu này có thể tạo điều kiện cho giao dịch trái phép và thao túng giao thức.
Pi Network gặp sự cố bảo mật nghiêm trọng thì tài sản người dùng bị ảnh hưởng thế nào?
Nếu Pi Network xảy ra sự cố bảo mật lớn, tài sản lưu trên các sàn giao dịch có thể bị tổn thất. Người dùng nên lưu trữ Pi coin trong ví cá nhân và hạn chế giao dịch để giảm thiểu rủi ro và bảo vệ tài sản.
Pi Network đã áp dụng biện pháp gì để ngăn chặn sự cố bảo mật trị giá 2 tỷ USD?
Pi Network đã triển khai xác thực đa yếu tố, kiểm toán bảo mật thường xuyên và mã hóa nâng cao để bảo vệ tài sản và dữ liệu người dùng. Các biện pháp bảo mật này nhằm ngăn ngừa sự cố nghiêm trọng và giảm thiểu rủi ro trong hệ sinh thái blockchain.
So với các blockchain công khai khác, bảo mật của Pi Network ra sao và đâu là nhược điểm?
Pi Network gặp rủi ro tập trung khi đội cốt lõi kiểm soát 83% token và trình xác thực mainnet. Yêu cầu KYC bắt buộc làm dấy lên lo ngại về quyền riêng tư. Kiểm toán hợp đồng thông minh còn hạn chế và sự không rõ ràng pháp lý tại nhiều nước gây khó khăn bảo mật so với các blockchain lớn.
Cơ chế đồng thuận và hệ xác thực của Pi Network có tiềm ẩn lỗ hổng không?
Cơ chế đồng thuận của Pi Network dựa trên BFT của Stellar và xác thực KYC bằng AI. Hệ thống này đã được ghi nhận có lỗ hổng trong KYC do AI xác minh chưa hiệu quả, làm tăng rủi ro bảo mật và nguy cơ node gian lận gia nhập mạng.
Kiểm toán hợp đồng thông minh của Pi Network hiện thế nào? Có điểm mù kiểm toán không?
Kiểm toán hợp đồng thông minh của Pi Network đang diễn ra nhưng vẫn có điểm mù, gồm thiếu chú trọng chi tiết và đánh giá quá lạc quan. Đơn vị kiểm toán cần ưu tiên bảo mật và tính logic hợp đồng trong quá trình kiểm tra.
Pi Network từng gặp các sự cố hoặc lỗ hổng bảo mật nào trong quá khứ?
Pi Network từng gặp các sự cố bảo mật năm 2020 do kiểm soát truy cập bị xâm phạm và hệ thống ví đa chữ ký bị phá vỡ. Các sự kiện này cho thấy những lỗ hổng lớn trong khung bảo mật và hạ tầng nền tảng.
* Thông tin không nhằm mục đích và không cấu thành lời khuyên tài chính hay bất kỳ đề xuất nào được Gate cung cấp hoặc xác nhận.
