CrossCurve bị hack hợp đồng thông minh, thiệt hại hơn 44 tỷ đồng

Giao thức CrossCurve bị hack hợp đồng thông minh, thiệt hại khoảng 44 tỷ đồng

Giao thức tài chính phi tập trung (DeFi) CrossCurve vừa trở thành nạn nhân của một vụ tấn công mạng nghiêm trọng. Theo thông báo ngày 24 trên tài khoản X chính thức của dự án, một lỗ hổng trong hợp đồng thông minh của nền tảng đã bị kẻ tấn công khai thác, dẫn đến việc mất cắp khoảng 3 triệu USD (ước tính hơn từ 43 tỷ đồng). Sự cố xảy ra thông qua một hợp đồng then chốt có tên ReceiverAxelar, nơi hacker đã sử dụng thông điệp giả để vượt qua bước xác minh và chiếm đoạt tài sản từ hợp đồng PortalV2.

Cũng theo dự án, vụ tấn công không chỉ làm thất thoát tài sản từ CrossCurve mà còn gây sai lệch trong việc gửi token: nhiều tài sản đã bị chuyển nhầm vào 10 ví người dùng khác nhau. CrossCurve khẳng định họ tin rằng những chủ sở hữu ví này không có ý đồ xấu và kêu gọi hoàn trả số tiền bị gửi nhầm. Danh sách 10 địa chỉ ví liên quan đã được công bố công khai.

Phân tích từ Defimon Alerts — tài khoản chuyên theo dõi các sự cố bảo mật trên blockchain — chỉ ra rằng cuộc tấn công dựa trên kỹ thuật tương tự vụ hack trị giá 190 triệu USD của Nomad Bridge hồi năm 2022: kẻ tấn công đã gửi thông điệp giả để khiến hệ thống tự động giải ngân tài sản mà không qua bước xác thực. Sự cố tiếp tục đặt dấu hỏi lớn về tính an toàn của các giao thức “cầu nối” (*cross-chain bridge*) trong ngành DeFi.

Trong động thái phản ứng, Curve Finance — đơn vị từng hỗ trợ cho CrossCurve — cũng đã lên tiếng cảnh báo người dùng. Những ai sở hữu quyền biểu quyết trong các nhóm thanh khoản liên quan đến CrossCurve được khuyến nghị nên “xem lại quan điểm và rút lại phiếu nếu cần thiết”.

Để khắc phục sự cố, CrossCurve mở lời kêu gọi các hacker “mũ trắng” – những người sẵn sàng hợp tác lấy lại tài sản. Theo chính sách tiết lộ trách nhiệm “Safe Harbor”, hacker nào hoàn trả tài sản có thể nhận phần thưởng lên tới 10% tổng giá trị. Dự án cho kẻ tấn công 72 giờ để liên hệ và hợp tác; sau thời điểm này sẽ tiến hành các biện pháp pháp lý, bao gồm truy cứu hình sự và dân sự.

CrossCurve cho biết đã thiết lập liên hệ với các sàn giao dịch lớn như Coinbase, Binance; cùng với những tổ chức phát hành stablecoin như USDC và các đơn vị phân tích trên chuỗi như Chainalysis, TRM Labs và Elliptic nhằm truy vết dòng tiền và ngăn chặn tối đa thiệt hại.

Sự cố này tiếp tục làm dấy lên lo ngại trong toàn ngành DeFi. Nhiều chuyên gia bảo mật khẳng định đã đến lúc thiết lập một “chuẩn hợp đồng thông minh an toàn”, đồng thời nâng cao tiêu chuẩn kiểm toán và kiểm tra mã nguồn. Andrew Morfill — Giám đốc an ninh thông tin tại Komainu — bình luận rằng việc xây dựng hợp đồng thông minh an toàn có kiểm chứng, cùng với phát triển tổng thể môi trường lập trình là “yếu tố then chốt giúp lấy lại niềm tin người dùng”.

CrossCurve từng nhận được 7 triệu USD (khoảng từ 102 tỷ đồng) vốn đầu tư mạo hiểm vào năm ngoái với sự hậu thuẫn từ nhà sáng lập Curve Finance — Mihail Egorov. Tuy nhiên, vụ việc lần này một lần nữa cho thấy các “cây cầu xuyên chuỗi” – khái niệm mang tính cốt lõi trong hạ tầng DeFi – vẫn là tử huyệt của cả hệ thống.

Từ khóa: từ CrossCurve, từ hợp đồng thông minh, từ hack, từ DeFi, từ bảo mật hệ thống.