Dự án được Ripple(XRP) rót vốn Squid Crypto bị hack 3 triệu USD chỉ sau vài giờ công bố gọi vốn

Theo CoinDesk đưa tin ngày 25 (giờ địa phương), dự án **từ Ripple(XRP)** tham gia đầu tư là Squid Crypto đã bị tấn công chỉ ít giờ sau khi công bố gọi vốn, gây chấn động thị trường. Sau thông báo huy động được 6 triệu USD (khoảng 90 tỷ đồng), dự án đã ghi nhận **từ DeFi**, **từ bảo mật**, **từ hack** khi khoảng 3 triệu USD (khoảng 45 tỷ đồng) bị rút khỏi giao thức, thổi bùng tranh luận về an toàn trong tài chính phi tập trung.

Theo CoinDesk, ngày 25 (giờ địa phương) Squid Crypto công bố vòng gọi vốn chiến lược do North Island Ventures dẫn dắt, với sự tham gia của **từ Ripple(XRP)**. Khoản đầu tư này được giới thiệu là nguồn vốn then chốt để mở rộng hạ tầng **từ thanh khoản đa chuỗi (cross-chain)**, giúp tối ưu hoán đổi tài sản giữa nhiều mạng lưới blockchain. Tuy nhiên, ngay sau khi thông tin được công bố, một cuộc tấn công đã xảy ra, khiến tâm lý thị trường đảo chiều nhanh chóng.

Nguyên nhân ban đầu được xác định đến từ một mô-đun tích hợp bên thứ ba, không phải các hợp đồng thông minh cốt lõi của Squid Crypto. Cụ thể, lỗ hổng nằm ở mô-đun “trình tổng hợp thanh khoản” được gắn vào hệ thống để tối ưu định tuyến lệnh hoán đổi. Chuyên gia on-chain cho rằng kẻ tấn công đã lợi dụng sai sót trong cơ chế nguồn giá (price feed) hoặc phân quyền truy cập để rút tiền khỏi mô-đun này. Do thành phần này không nằm trong phạm vi kiểm toán chính thức, những cơ chế phòng vệ vốn được áp dụng cho hợp đồng cốt lõi đã bị “vượt rào” tương đối dễ dàng.

Mô-đun bị tấn công được xây dựng dựa trên Gnosis Safe, dưới tên gọi “SquidRouterModule”, do bên thứ ba phát triển và tích hợp vào hệ sinh thái Squid Crypto. Hệ thống phân quyền, cấu trúc tin cậy và sự phụ thuộc vào oracle của mô-đun này không được rà soát ở mức độ tương đương với phần code do đội ngũ Squid tự phát triển. Theo các chuyên gia, đây là ví dụ điển hình của **từ rủi ro phụ thuộc (dependency risk)** trong **từ DeFi**, khi giao thức mở rộng quá nhanh thông qua tích hợp bên ngoài nhưng quy trình đánh giá an ninh không theo kịp.

*bình luận: Vụ việc cho thấy việc “gắn thêm” mô-đun để tăng tính năng – đặc biệt trong mảng cross-chain – đang trở thành điểm yếu cố hữu. Dù hợp đồng chính được kiểm toán kỹ lưỡng, một thành phần nhỏ nhưng có quyền truy cập tài sản vẫn có thể phá vỡ toàn bộ mô hình an toàn.*

Phản hồi trước sự cố, đội ngũ Squid Crypto lập tức đưa ra tuyên bố chính thức, khẳng định dự án “không trực tiếp liên quan” đến mô-đun bị tấn công. Theo đội ngũ, số tiền bị rút thuộc phạm vi của mô-đun bên thứ ba, không phải sản phẩm do Squid tự phát triển, triển khai hay vận hành. Squid nhấn mạnh các hợp đồng router cốt lõi không bị ảnh hưởng, hoạt động **từ hoán đổi cross-chain** cho người dùng phổ thông và các dịch vụ tích hợp hiện tại vẫn ở trạng thái an toàn. Dự án đồng thời cảnh báo cộng đồng không nên nhầm lẫn giữa các hợp đồng hoặc mô-đun có tên gọi tương tự, và cho rằng người dùng không cần thực hiện hành động khẩn cấp nào tại thời điểm này.

Tuy nhiên, ngay cả khi người dùng cuối không chịu thiệt hại trực tiếp, sự cố vẫn tạo ra cú sốc niềm tin lớn cho cả Squid Crypto lẫn **từ Ripple(XRP)**. Vòng đầu tư có sự tham gia của **từ Ripple(XRP)** vốn được kỳ vọng thúc đẩy các giải pháp **từ thanh toán đa chuỗi** và mở rộng hệ sinh thái xung quanh **từ Ripple(XRP)**. Việc xảy ra tấn công chỉ trong vòng chưa đầy 24 giờ sau công bố khiến thị trường đặt dấu hỏi về quy trình thẩm định công nghệ và rủi ro bảo mật trong các thương vụ đầu tư DeFi.

*bình luận: Đối với nhà đầu tư tổ chức, nhất là các tên tuổi gắn với hạ tầng thanh toán như Ripple(XRP), mỗi sự cố kiểu này không chỉ là vấn đề của một dự án đơn lẻ mà còn tác động đến hình ảnh chung của mảng DeFi và các ứng dụng đa chuỗi.*

Vụ hack Squid Crypto một lần nữa cho thấy bài toán cân bằng giữa **từ mở rộng (scalability)** và **từ bảo mật (security)** trong **từ DeFi** vẫn chưa có lời giải trọn vẹn. Khi các giao thức liên tục tích hợp thêm mô-đun, oracle, cầu nối và các lớp trung gian để “chạy nhanh hơn”, bề mặt tấn công cũng phình to theo. Trong bối cảnh dòng vốn từ những quỹ như North Island Ventures và các tổ chức liên quan đến **từ Ripple(XRP)** tiếp tục đổ vào mảng hạ tầng DeFi, việc mở rộng phạm vi kiểm toán, đánh giá rủi ro phụ thuộc và kiểm soát quyền truy cập đang trở thành yêu cầu sống còn, thay vì chỉ là bước phụ trợ sau khi đã hoàn tất gọi vốn.