Những điểm nổi bật chính:
- Lido đã phát hiện một lỗ hổng tiềm tàng trong điểm cuối cầu nối ZKsync wstETH nhưng xác nhận không có khoản tiền nào bị đánh cắp.
- Việc nạp tiền mới vào cầu nối ZKsync đã bị tạm dừng, trong khi việc rút tiền và chuyển Token vẫn không bị ảnh hưởng.
- Một bản vá lỗi đã được chuẩn bị và sẽ được kiểm tra, triển khai thông qua cuộc bỏ phiếu quản trị on-chain tiếp theo của Lido vào cuối tháng 3 hoặc đầu tháng 4.
Lido, một công ty Staking Ethereum mã nguồn mở, đã tiết lộ một lỗ hổng tiềm tàng trong hợp đồng điểm cuối cầu nối ZKsync wstETH. Điều này đã dẫn đến các biện pháp phòng ngừa, nhưng cho đến nay vẫn chưa có thiệt hại nào được báo cáo. Vấn đề nằm ở hợp đồng cho phép chuyển Ether được đóng gói đã stake giữa Ethereum và ZKsync.
Trong một tuyên bố chính thức, Lido cho biết không có bằng chứng nào cho thấy lỗ hổng đã bị khai thác. Giao thức này cũng cho biết thêm rằng những người nắm giữ wstETH trên ZKsync vẫn không bị ảnh hưởng. Các hợp đồng cầu nối khác cũng không bị tác động.
Lido tạm dừng việc gửi tiền vào cầu nối ZKsync mới.
Để đề phòng, Lido đã tạm dừng việc nhận tiền gửi mới vào cầu nối ZKsync. Việc rút tiền từ ZKsync và chuyển Token vẫn hoạt động bình thường. Việc tạm dừng chỉ áp dụng cho các khoản tiền gửi mới được thực hiện thông qua điểm cuối bị ảnh hưởng.
[Thông báo về lỗ hổng bảo mật] Một lỗ hổng tiềm ẩn đã được báo cáo liên quan đến hợp đồng điểm cuối cầu nối wstETH của ZKsync. Cho đến nay, chưa có dấu hiệu nào cho thấy lỗ hổng này đã bị khai thác và những người nắm giữ wstETH trên ZKsync không bị ảnh hưởng. Không có cầu nối nào khác bị ảnh hưởng. Trong số rất nhiều…
— Lido (@LidoFinance) ngày 3 tháng 3 năm 2026
Lỗ hổng này liên quan cụ thể đến hợp đồng điểm cuối cầu nối. Trong cơ sở hạ tầng blockchain, cầu nối đóng vai trò là cổng kết nối giữa các mạng. Nó cho phép các tài sản như wstETH di chuyển từ mạng chính Ethereum sang môi trường Layer 2. Trong trường hợp này, mối quan ngại tập trung vào cổng kết nối đó chứ không phải bản thân Token wstETH.
Vì vấn đề được phát hiện trước khi có bất kỳ hành vi khai thác nào được xác nhận, nên tác động trước mắt là về mặt vận hành chứ không phải tài chính. Người dùng hiện đang nắm giữ wstETH trên ZKsync vẫn có quyền truy cập vào tiền của họ. Họ có thể rút và chuyển token mà không bị gián đoạn. Tuy nhiên, họ không thể gửi thêm wstETH thông qua cầu nối bị tạm dừng cho đến khi có thông báo mới.
Lido đã chuẩn bị bản vá lỗi. Bản cập nhật sẽ trải qua quá trình kiểm tra trước khi triển khai. Là một giao thức phi tập trung được quản lý bởi những người nắm giữ Token , Lido không thể thực hiện các thay đổi ngay lập tức. Do đó, bản vá sẽ được giới thiệu trong cuộc bỏ phiếu quản trị on-chain tiếp theo theo lịch trình, dự kiến vào cuối tháng 3 hoặc đầu tháng 4. Sau khi được phê duyệt và triển khai, chức năng gửi tiền sẽ hoạt động trở lại.
Việc tạm dừng này có thể tạo ra những hạn chế về thanh khoản trong ngắn hạn. Vì không có wstETH mới nào có thể được đưa vào ZKsync thông qua cầu nối, nên nguồn cung khả dụng trên mạng đó thực tế bị giới hạn. Nếu nhu cầu tăng lên trong khi việc gửi tiền vẫn bị tạm dừng, sự chênh lệch giá có thể xuất hiện giữa các sàn giao dịch phi tập trung hoạt động trên ZKsync.
Tại thời điểm báo cáo, wstETH trên ZKsync giao dịch ở mức gần 2.402,27 đô la, sau khi giảm khoảng 1,2% trong giờ trước đó. Sự sụt giảm này có thể cho thấy sự hạn chế tạm thời, nhằm hạn chế hoạt động chênh lệch giá thường giúp duy trì sự cân bằng giá giữa các mạng lưới.
Các lỗ hổng bảo mật cầu nối thường là điểm rủi ro trong tài chính phi tập trung. Ngay cả khi tiền vẫn an toàn, việc phát hiện ra một lỗi cũng có thể ảnh hưởng đến niềm tin thị trường. Trong trường hợp này, Lido nhấn mạnh rằng hành động này được thực hiện vì lý do thận trọng. Giao thức này đã đảm bảo với người dùng rằng họ sẽ cung cấp thêm thông tin cập nhật khi có diễn biến mới.
Thông báo này được đưa ra ngay sau khi Lido hoàn tất việc triển khai bản nâng cấp V3 Giai đoạn 3. Bản cập nhật đó đánh dấu một cột mốc quan trọng đối với giao thức Staking . Việc tạo stETH hiện đã Không cần cho phép của bất kỳ ai đối với tất cả các stVault. Giới hạn tạo stETH cho các nhà điều hành nút đã được xác định cũng đã được mở rộng.
Theo cấu trúc mới, các kho tiền điện tử do các nhà điều hành nút mạng không xác định danh tính vận hành có thể Mint stETH trong một khuôn khổ được xác định. Tỷ lệ dự trữ 50% được áp dụng, cùng với các giới hạn tạo ra theo từng bậc. Những thay đổi này được thiết kế để tăng cường sự tham gia và đồng thời duy trì các biện pháp bảo vệ.
Trong bối cảnh đó, việc tạm dừng kết nối cầu tạo ra một điểm ma sát tạm thời. Nó không làm thay đổi cơ chế Staking cơ bản. Nó cũng không ảnh hưởng đến các tích hợp cầu khác.
Đối với người dùng, điều cần lưu ý ngay lập tức là rõ ràng. Số tiền hiện có vẫn có thể truy cập được. Việc nạp tiền vào ZKsync tạm thời bị tạm dừng cho đến khi ban quản trị phê duyệt bản sửa lỗi. Hoạt động giám sát sẽ tiếp tục trong thời gian này.
Xem thêm: SlowMist cảnh báo về vấn đề bảo mật trong tính năng hoán đổi ví Bitget
