Vào ngày 30 tháng 5 năm 2026, một sự cố bảo mật tại hợp đồng phía Ethereum của Gravity Bridge đã dẫn đến việc rút tiền trái phép khoảng 5,4 triệu USD. Các điều tra trên chuỗi đã xác định một khóa ký bị xâm phạm là nguyên nhân gốc, phân biệt vụ việc này với các vụ khai thác hợp đồng thông minh điển hình. Sự cố đã vượt qua các biện pháp bảo vệ của mã giao thức, cho phép kẻ tấn công có quyền truy cập đặc quyền để thực hiện các giao dịch rút tiền mà dường như được phép.
Khoản rút tiền ban đầu gồm 4,3 triệu USDC, 274 ETH trị giá 553.000 USD, 434.000 USD USDT, và khoảng 64.000 USD bằng token PAYG. PeckShield và các công ty phân tích blockchain khác đã theo dõi sự di chuyển của số tiền bị đánh cắp thông qua các dịch vụ ngang hàng, bao gồm ChangeNow và Binance, nhằm làm mờ nguồn gốc giao dịch. Mặc dù đã được rửa một phần, dữ liệu trên chuỗi cho thấy các kẻ tấn công vẫn kiểm soát 2.102 ETH, có giá trị trên 4,2 triệu USD.
Gravity Bridge là một giải pháp hạ tầng chuỗi chéo kết nối Ethereum với hệ sinh thái Cosmos thông qua IBC, tạo điều kiện cho việc chuyển giao tài sản giữa các chuỗi. Trước vụ khai thác, cầu nối này duy trì tổng giá trị bị khóa (TVL) là 11,5 triệu USD. Những người quan sát trong ngành đã nêu bật các lỗ hổng dai dẳng trong kiến trúc cầu nối, đặc biệt là quản lý khóa tập trung có thể tạo ra một điểm hỏng duy nhất.
Ngữ cảnh lịch sử nhấn mạnh mức độ nghiêm trọng của các vụ khai thác cầu nối trong năm 2026, tính đến tháng 5 có tám vụ việc lớn gây thiệt hại lên tới 328,6 triệu USD. Các vụ hack như Ronin và Poly Network cho thấy rủi ro hệ thống khi khóa xác thực của các validator bị xâm phạm và làm tăng nhu cầu về các cơ chế quản trị đa bên. Các stablecoin tăng cường quyền riêng tư và các cơ chế phản ứng khai thác, ví dụ như việc nhà phát hành liệt kê đen các địa chỉ, đã mang lại mức giảm nhẹ nhưng không loại bỏ được các giả định tin cậy cốt lõi.
Sau sự cố, các dịch vụ giám sát thị trường đã phát đi cảnh báo rủi ro tới các nhà vận hành sàn giao dịch phi tập trung (DEX) và các nền tảng lưu ký. Các biện pháp khắc phục được đề xuất bao gồm quay vòng các khóa xác thực để lưu trữ lạnh an toàn và triển khai các sơ đồ chữ ký ngưỡng (threshold signature schemes) yêu cầu chữ ký đa bên cho các giao dịch có giá trị lớn. Các đội ngũ dự án đang hợp tác với các kiểm toán viên bên ngoài để đánh giá lỗ hổng gốc và đề xuất các giao thức quản lý khóa được nâng cao.
Vụ việc nhấn mạnh các cuộc tranh luận đang diễn ra trong ngành về sự cân bằng giữa phi tập trung hóa và an toàn vận hành. Các cầu nối chuỗi chéo vẫn là thành phần không thể thiếu của các chiến lược DeFi ghép nối (composable DeFi), và những sự cố bảo mật dai dẳng đang đe dọa niềm tin và hiệu quả vốn. Các bên tham gia thị trường sẽ theo dõi thời gian phản hồi của Gravity Bridge và các đề xuất quản trị trên chuỗi nhằm khắc phục lỗ hổng và khôi phục an toàn tài sản.
Cuối cùng, vụ khai thác này là một ví dụ cảnh báo cho các giao thức hạ tầng, nhấn mạnh sự cấp thiết của các giải pháp quản lý khóa đáng tin cậy và các quy trình ứng phó sự cố minh bạch để duy trì tính toàn vẹn của kết nối giữa các chuỗi.
Bình luận (0)