Hyperbridge trên Polkadot(DOT) bị hack 237.000 USD, lộ rõ rủi ro bảo mật bridge cross-chain

*Theo Cointelegraph và CertiK đưa tin ngày 1 (giờ địa phương),* giao thức tương tác chuỗi chéo **“하이퍼브리지(Hyperbridge)”** xây dựng trên **Polkadot(DOT)** vừa bị tin tặc tấn công, gây thiệt hại khoảng *237.000 USD*. Sự cố một lần nữa gióng lên hồi chuông cảnh báo về **“từ”bảo mật bridge“từ”** trong thị trường tiền mã hóa, khi hạ tầng kết nối chuỗi vẫn là một trong những điểm yếu rủi ro nhất hiện nay.

Tin tặc đã lợi dụng lỗ hổng trong hợp đồng thông minh để mint 1 tỷ token DOT dạng bridge chỉ trong một giao dịch, rồi quy đổi thành **Ethereum(ETH)** với thanh khoản hạn chế trên thị trường, cuối cùng rút được 108,2 ETH (tương đương khoảng 237.000 USD). Nền tảng an ninh mạng CertiK cho biết kẻ tấn công đã sử dụng **“từ”thông điệp giả mạo“từ”** để thay đổi địa chỉ quản trị trong hợp đồng DOT trên mạng Ethereum, từ đó chiếm quyền phát hành token.

Ảnh hưởng của vụ việc được xác định chỉ giới hạn ở DOT đã được đưa sang Ethereum thông qua bridge. Phía Polkadot khẳng định mạng lưới chính và token DOT gốc không bị tác động. Về diễn biến giá, theo dữ liệu CoinGecko, **Polkadot(DOT)** có lúc rơi xuống 1,16 USD vào phiên giao dịch thứ Hai trước khi hồi phục và giao dịch trên mốc 1,19 USD tại thời điểm bài viết.

Ngay sau khi phát hiện tấn công, Hyperbridge đã tạm dừng hoạt động để triển khai nâng cấp hạ tầng. Một thành viên đóng góp của dự án, Web3 Philosopher, cho biết đánh giá ban đầu cho thấy một bằng chứng độc hại đã đánh lừa bộ kiểm chứng Merkle tree của giao thức. Công ty bảo mật Blocksec Falcon thì nghi ngờ lỗ hổng nằm ở khả năng **tái sử dụng bằng chứng Merkle Mountain Range (MMR)**, cụ thể là việc bằng chứng và yêu cầu không được ràng buộc chặt chẽ với nhau trong thiết kế hệ thống. Nguyên nhân cuối cùng hiện vẫn đang được điều tra.

Vụ tấn công gây chú ý hơn khi Hyperbridge vốn quảng bá mô hình **“từ”bảo mật full node“từ”** như một lợi thế cạnh tranh, nhấn mạnh tính an toàn và đáng tin cậy của bridge chuỗi chéo. Trước đó không lâu, dự án Aethir cho biết đã kịp thời ngăn chặn một nỗ lực tấn công bridge riêng, giúp giới hạn thiệt hại dưới 90.000 USD. *bình luận* Những sự cố liên tiếp cho thấy **“từ”bảo mật bridge“từ”** đang trở thành mặt trận nóng nhất trong an ninh blockchain, khi bridge vừa là hạ tầng cốt lõi kết nối các mạng lưới, vừa là mục tiêu tấn công ưa thích của hacker.

Song song với Hyperbridge, thị trường DeFi cũng ghi nhận thêm một vụ việc khác. Giao thức lập chỉ mục dữ liệu **SubQuery Network** bị tấn công khoảng 130.000 USD chỉ một ngày trước đó. Đơn vị kiểm toán bảo mật Pashov cho biết, nguyên nhân xuất phát từ một vấn đề kiểm soát truy cập bị bỏ quên hơn 2 năm, cho phép kẻ tấn công thay đổi địa chỉ nhận thưởng staking sang hợp đồng do chính hắn tạo ra.

Dù các vụ việc vẫn xuất hiện, thống kê theo năm lại cho thấy mức độ thiệt hại do hack DeFi đang giảm mạnh. Trong quý 1 năm 2026, tổng số tiền bị đánh cắp từ 34 giao thức DeFi là khoảng 168 triệu USD, thấp hơn rất nhiều so với con số 1,58 tỷ USD của quý 1 năm 2025. Một phần nguyên nhân là thời gian gần đây không xuất hiện những vụ tấn công quy mô đặc biệt lớn như vụ hack sàn Bybit(BYBIT) ở quý trước. Tuy vậy, những vụ việc nhắm vào các bridge và giao thức DeFi vừa và nhỏ vẫn xảy ra đều đặn, cho thấy bức tranh an ninh chưa thể coi là an toàn.

*bình luận* Vụ hack **Hyperbridge** cho thấy, ngay cả khi tổng thiệt hại toàn thị trường đang có xu hướng giảm, **“từ”bảo mật bridge Polkadot“từ”** nói riêng và **“từ”bảo mật bridge“từ”** nói chung vẫn là điểm yếu nhạy cảm nhất của hệ sinh thái. Chỉ cần lớp logic kiểm chứng trong quá trình chuyển tài sản – đặc biệt với các tài sản lớn như **Polkadot(DOT)** – bị thao túng, thiệt hại có thể phát sinh gần như tức thời. Với việc ngày càng nhiều tài sản được token hóa và di chuyển qua lại giữa các chuỗi, yêu cầu nâng cấp kiến trúc, kiểm toán thường xuyên và thiết lập cơ chế phòng thủ nhiều lớp cho **“từ”bảo mật bridge“từ”** đang trở thành ưu tiên sống còn đối với mọi dự án hạ tầng cross-chain.