Hyperbridge bị hack sau khi khoe 'không thể bị tấn công', làm bùng nổ tranh cãi về bảo mật bridge trong ngành tiền mã hóa

‘해킹이 불가능하다’고 홍보해온 *하이퍼브리지(Hyperbridge)* vừa thừa nhận bị tấn công, làm dấy lên tranh luận gay gắt trong ngành *tiền mã hóa* về sự “kiêu ngạo bảo mật” và rủi ro của các giao thức *bridge*.

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), dự án *Hyperbridge* thông báo trên X về việc “cập nhật bridge”, gián tiếp xác nhận giao thức đã bị khai thác lỗ hổng. Trước đó, ngày 1 tháng 4, dự án đăng bài “Tại sao Hyperbridge không thể bị hack” và tự tin khẳng định việc tấn công là bất khả thi. Tuy nhiên, chỉ chưa đầy hai tuần sau, lỗ hổng nghiêm trọng đã lộ diện.

Theo công ty bảo mật CertiK, kẻ tấn công đã giả mạo quyền quản trị hợp đồng token Polkadot(DOT) trên mạng lưới Ethereum(ETH), qua đó chiếm đoạt khoảng 237.000 USD. Dữ liệu on-chain cho thấy thêm 245 ETH – tương đương hơn 500.000 USD – đã bị rút khỏi hợp đồng “TokenGateway” của dự án, sau đó được chuyển qua Tornado Cash, làm tăng mức độ nghiêm trọng của vụ việc.

Mặc dù thiệt hại về giá trị vẫn thấp hơn nhiều so với các vụ hack *bridge* quy mô lớn trước đây, tâm điểm chỉ trích lại nhắm vào thái độ xem nhẹ *bảo mật* của đội ngũ *Hyperbridge*. Trước vụ việc, dự án từng gây tranh cãi khi nhân ngày Cá Tháng Tư tuyên bố mình đã bị nhóm Lazarus của Triều Tiên đánh cắp 37 triệu USD, rồi chèn hình ảnh “rickroll” mang tính đùa cợt trong bài blog giải thích về hệ thống phòng vệ. Trên X, họ còn tự mô tả hạ tầng của mình là “vô nhiễm”, đồng thời được cho là đã thách thức cộng đồng “nếu có lỗ hổng thì cứ khai thác thử”, bất chấp nhiều cảnh báo từ bên ngoài.

*bình luận* Vụ tấn công này một lần nữa cho thấy các *bridge* trong hệ sinh thái *tiền mã hóa* là mục tiêu dễ bị nhắm đến, không chỉ vì thiết kế kỹ thuật phức tạp mà còn vì rủi ro đến từ cách vận hành, quản trị và truyền thông. Trong bối cảnh mọi lỗ hổng đều có thể nhanh chóng bị phóng đại và lan truyền, danh tiếng của một dự án có thể sụp đổ chỉ sau một vụ tấn công “nhỏ”. Nhiều chuyên gia lưu ý: thay vì những tuyên bố “không thể bị hack”, các giao thức *bridge* cần chứng minh năng lực bảo vệ tài sản người dùng bằng kiểm toán độc lập, cơ chế đa chữ ký an toàn và thái độ thận trọng hơn với các phát ngôn liên quan đến *bảo mật*.