Bridge Taiko(TAIKO) trên Ethereum(ETH) bị hack 1,7 triệu USD do lộ khóa tạo proof, lộ rõ rủi ro cross-chain năm 2026

Theo CoinDesk đưa tin ngày 22 (giờ địa phương), mạng **từ Ethereum(ETH) Layer 2** Taiko(TAIKO) vừa hứng chịu một cuộc tấn công vào cầu nối “từ bridge” với thiệt hại ước tính khoảng 1,7 triệu USD (khoảng 26 tỷ đồng). Sự cố buộc dự án phải dừng tạo khối, khuyến nghị người dùng rút tài sản khỏi các cầu nối, làm dấy lên lo ngại về làn sóng tấn công nhắm vào hạ tầng **từ cross-chain** trong năm nay.

Taiko cho biết kẻ tấn công đã lợi dụng lỗ hổng trong cơ chế “từ chứng minh (proof)” dùng cho việc xác thực rút tiền trên cầu nối. Bằng cách tạo ra các bằng chứng giả nhưng vẫn được hệ thống chấp nhận, kẻ tấn công đã được “phê duyệt” các lệnh rút không có giao dịch tương ứng trên chuỗi, từ đó chiếm đoạt tài sản. Ước tính ban đầu, số tiền bị rút trái phép khoảng 1,7 triệu USD, và đội ngũ đã kịp thời chặn luồng rút tiền tiếp theo nên thiệt hại không gia tăng.

Theo công bố từ dự án, cầu nối là hạ tầng then chốt đảm nhận việc chuyển tài sản giữa **từ Taiko** và **từ Ethereum(ETH)**. Quy trình đúng chuẩn yêu cầu mỗi yêu cầu rút trên Ethereum phải đi kèm một “từ chứng minh” khớp với giao dịch gửi tài sản đã diễn ra trên Taiko. Trong vụ việc này, kẻ tấn công đã tạo ra các “từ chứng minh” giả mạo, khiến hệ thống trên phía Ethereum ghi nhận các yêu cầu rút là hợp lệ dù trên Taiko không hề có giao dịch nguồn tương ứng. Hệ quả là tài sản bị rút ra khỏi cầu nối và các “từ token vault” (kho lưu ký token) của giao thức.

Đội ngũ Taiko cũng xác nhận kẻ tấn công đã chiếm đoạt thêm khoảng 2 triệu **từ Taiko(TAIKO)** rồi chuyển lên sàn MEXC. Số TAIKO này có giá trị xấp xỉ 170.000 USD (khoảng 2,6 tỷ đồng) tại thời điểm bị phát hiện.

Trong phân tích ban đầu, công ty bảo mật BlockSec nhận định nguyên nhân cốt lõi nhiều khả năng xuất phát từ việc lộ khóa ký của hệ thống tạo “từ chứng minh” mang tên Raiko. Theo BlockSec, khóa ký này lẽ ra phải được lưu trữ trong phần cứng bảo mật chuyên dụng, nhưng đã bị phơi lộ trên GitHub, tạo điều kiện cho kẻ tấn công tự nhận mình là “từ trình xác thực” hợp lệ. Với quyền này, hắn có thể ký vào các chứng minh giả, khiến chúng vượt qua bước kiểm tra của các “từ validator” Taiko và được Ethereum chấp nhận như giao dịch chính thống, từ đó giải phóng tài sản thực.

Sau khi phát hiện sự cố, Taiko lập tức phát đi khuyến nghị người dùng rút tài sản khỏi tất cả các cầu nối liên quan, đồng thời gửi yêu cầu tới các sàn giao dịch tập trung tạm dừng nạp **từ TAIKO**. Dự án cũng yêu cầu bên tạo khối (block proposer) tạm dừng sản xuất khối mới để tránh lan rộng thiệt hại. Theo thông báo của đội ngũ, khoảng 2 giờ sáng theo giờ Bờ Đông nước Mỹ, cuộc tấn công cơ bản đã được “kiểm soát”, các hoạt động rút tiền từ những cầu nối và kho token chính đã bị đóng hoàn toàn.

*bình luận: Quyết định dừng tạo khối và phong tỏa cầu nối là biện pháp mạnh tay nhưng cần thiết trong bối cảnh khóa ký có nguy cơ bị chiếm quyền, bởi chỉ cần thêm vài “từ chứng minh” giả được thông qua, thiệt hại có thể đội lên gấp nhiều lần.*

Dù giá trị thiệt hại trong vụ việc Taiko ở mức trung bình so với mặt bằng các vụ hack DeFi, giới phân tích cho rằng điều đáng lo là mô-típ tấn công “từ giả mạo thông điệp cross-chain / fake proof” tiếp tục lặp lại. Hồi tháng 4, Kelp DAO chịu tổn thất khoảng 292 triệu USD, và đến tháng 5, cầu nối giữa Berachain và Ethereum cũng mất khoảng 11,4 triệu USD với phương thức tương tự. Tính từ đầu năm 2026 đến nay, đã ghi nhận ít nhất 14 vụ tấn công nhắm vào **từ bridge cross-chain**, với tổng thiệt hại vượt 340 triệu USD (khoảng 5.227 tỷ đồng), theo tổng hợp từ nhiều nền tảng theo dõi on-chain.

*bình luận: Các vụ việc liên tiếp cho thấy cầu nối vẫn là “gót chân Achilles” của hệ sinh thái **từ Ethereum(ETH)** và các giải pháp mở rộng như **từ Layer 2**, do phải xử lý logic phức tạp giữa nhiều chuỗi, phụ thuộc vào hệ thống khóa ký, bằng chứng và trình xác thực khó kiểm toán toàn diện.*

Taiko là một dự án **từ Layer 2 Ethereum(ETH)** ra mắt mainnet vào tháng 5 năm 2024, tập trung vào mô hình rollup tương thích cao với Ethereum. Đội ngũ cho biết sẽ công bố báo cáo kỹ thuật chi tiết về vụ tấn công trong ngày theo giờ châu Á, làm rõ cơ chế “từ chứng minh” bị khai thác như thế nào, mức độ lộ lọt khóa ký Raiko, cũng như kế hoạch nâng cấp an ninh cho hạ tầng cầu nối.

Trong bối cảnh thiệt hại từ tấn công **từ bridge** năm 2026 đã vượt mốc 340 triệu USD, vụ Taiko một lần nữa cảnh báo nhà đầu tư về rủi ro hệ thống của **từ cross-chain bridge** và các giao thức mở rộng **từ Ethereum(ETH)**. Nhà phát triển buộc phải thắt chặt quy trình quản lý khóa, tách biệt môi trường phát triển – triển khai, còn người dùng được khuyến nghị đa dạng hóa kênh chuyển tài sản, hạn chế phụ thuộc quá lớn vào một hạ tầng cầu nối duy nhất.