Tin tức 
Thông tin Coin 
Về chúng tôi 
Vụ tấn công vào *từ*Hyperbridge* từ* một lần nữa phơi bày điểm yếu cố hữu của hạ tầng *từ*cross-chain bridge* từ* trên thị trường tiền mã hóa. Dù kẻ tấn công đã “in” ra lượng token trị giá tới khoảng 1,1 tỷ USD, số tiền thực tế rút được chỉ vào khoảng 240.000 USD (khoảng 3,57 tỷ đồng) do vấp phải rào cản… thiếu *từ*thanh khoản* từ*.
Theo CoinDesk đưa tin ngày 12 tháng 4 (giờ địa phương), vụ việc xảy ra trên mạng *từ*Ethereum(ETH)* từ* vào Chủ nhật. Kẻ tấn công đã lợi dụng lỗ hổng trong cổng *từ*cross-chain gateway* từ* của Hyperbridge, từ đó tự ý phát hành 1 tỷ *từ*Polkadot(DOT)* từ* “ảo” rồi mang bán lấy *từ*Ethereum(ETH)* từ*. Tuy nhiên, lượng thanh khoản hạn chế trong các pool giao dịch đã khiến số tiền thu về thấp hơn rất nhiều so với giá trị danh nghĩa của số token bị “in” thêm.
Theo phân tích từ công ty bảo mật *từ*CertiK* từ*, lỗi kỹ thuật nằm ở cách hợp đồng *từ*EthereumHost* từ* của Hyperbridge xác minh thông điệp cross-chain. Kẻ tấn công đã bơm vào hệ thống một thông điệp giả mạo, nhưng do logic kiểm tra sai, đặc biệt là việc chấp nhận giá trị trạng thái “toàn 0” như một dữ liệu hợp lệ, hệ thống đã coi đây là yêu cầu hợp lệ.
Khai thác được kẽ hở này, hacker chiếm quyền quản trị thông qua hợp đồng *từ*TokenGateway* từ* và chỉ với một giao dịch đã phát hành tới 1 tỷ *từ*Polkadot(DOT)* từ* trên Ethereum. Về mặt kỹ thuật, đây là hành vi “đúc” token không được bảo chứng, làm phình to nguồn cung DOT đại diện trên cầu nối.
Số DOT vừa in sau đó được đưa qua Odos Router V3 và đổ vào pool DOT–ETH trên Uniswap V4 để hoán đổi sang *từ*Ethereum(ETH)* từ*. Tuy nhiên, vì pool DOT–ETH này có *từ*thanh khoản* từ* khá nông, lệnh bán khối lượng cực lớn đã khiến giá DOT trong pool lao dốc mạnh, làm cho số *từ*Ethereum(ETH)* từ* thu được chỉ quanh 108,2 ETH, tương đương khoảng 237.000–240.000 USD, tức là bị “xả” với mức giá gần như cho không.
bình luận Đây là ví dụ điển hình cho thấy *từ*thanh khoản* từ* thấp đôi khi lại đóng vai trò như một “tấm đệm” giảm thiệt hại. Nếu cùng lỗ hổng này bị khai thác trên một pool có chiều sâu thanh khoản lớn hơn, hoặc với cặp tài sản có độ chấp nhận cao hơn, con số thiệt hại thực tế có thể tiến gần nhiều hơn tới giá trị danh nghĩa 1,1 tỷ USD.
Điểm đáng chú ý, vụ hack lần này không xuất phát từ lỗi của mạng chính *từ*Polkadot(DOT)* từ* mà nằm ở lớp *từ*bridge contract* từ*. Chuỗi chính của Polkadot không bị ảnh hưởng, nhưng niềm tin vào tính an toàn của các *từ*cross-chain bridge* từ* tiếp tục bị bào mòn. Về mặt cấu trúc, cầu nối vẫn là “điểm lỗi đơn” (single point of failure) – chỉ cần một sai sót trong cơ chế xác minh thông điệp hoặc logic hợp đồng, toàn bộ tài sản bị “khóa” và đại diện trên cầu đều có nguy cơ gặp rủi ro.
bình luận Vụ việc với Hyperbridge diễn ra trong bối cảnh năm 2026 đã ghi nhận thêm nhiều sự cố liên quan *từ*cross-chain bridge* từ*. Tháng trước, giao thức Drift trên hệ *từ*Solana(SOL)* từ* được báo cáo đã bị rút khoảng 270 triệu USD, cho thấy nguy cơ không chỉ đến từ lỗi mã nguồn mà còn cả tấn công xã hội (social engineering) và sai sót trong quy trình vận hành.
Trong trường hợp Hyperbridge, CertiK nhấn mạnh điểm yếu nằm ở “logic kiểm chứng”, không phải cơ chế mật mã nền tảng. Việc cho phép một trạng thái “trống” (all-zero) vượt qua khâu xác thực là minh họa rõ ràng cho nguy cơ của những chi tiết tưởng chừng nhỏ trong thiết kế hợp đồng thông minh. Một giá trị kiểm tra sai có thể mở toang cánh cửa quản trị và quyền phát hành tài sản.
Tính đến thời điểm hiện tại, Hyperbridge vẫn chưa đưa ra tuyên bố chính thức về sự cố, cũng như chưa rõ liệu các cầu nối khác sử dụng cùng kiến trúc hợp đồng với EthereumHost và TokenGateway có gặp rủi ro tương tự hay không. Việc đánh giá lại mã nguồn, tạm dừng cầu, hoặc triển khai cơ chế kiểm chứng đa lớp (multi-layer verification) đang được cộng đồng đề nghị như các biện pháp khẩn cấp.
bình luận Về dài hạn, vụ hack Hyperbridge có thể là thêm một chất xúc tác để thị trường xem xét lại mô hình *từ*cross-chain bridge* từ* hiện tại, chuyển dần sang các kiến trúc an toàn hơn như light client, zk-based bridge, hoặc giải pháp đa chữ ký phân tán sâu (decentralized multisig) thay vì phụ thuộc quá nhiều vào một hợp đồng trung tâm.
Khi *từ*cross-chain bridge* từ* là hạ tầng nền tảng cho dòng chảy tài sản giữa các blockchain, mỗi lỗ hổng kỹ thuật dù nhỏ cũng có thể biến thành rủi ro hàng trăm triệu, thậm chí hàng tỷ USD. Vụ việc Hyperbridge – với 1,1 tỷ USD token bị “in ảo” nhưng chỉ khoảng 240.000 USD bị rút được nhờ *từ*thanh khoản* từ* hạn chế – một lần nữa nhắc lại rằng thiết kế an toàn cho cầu nối không chỉ là vấn đề công nghệ, mà còn là bài toán cấu trúc thị trường và quản trị rủi ro tổng thể.
Bình luận 0