Một vụ exploit trên Hyperbridge đã cho phép hacker mint 1 tỷ token Polkadot dạng bridge trên Ethereum và rút khoảng 237.000 USD, làm dấy lên tranh luận mới về bảo mật của các cầu nối blockchain.
Một hacker đã khai thác lỗ hổng của giao thức tương tác cross-chain Hyperbridge (dựa trên Polkadot), thu về khoảng 237.000 USD và làm gia tăng lo ngại về an ninh của hạ tầng bridge trong blockchain.
Theo dữ liệu blockchain được nền tảng bảo mật CertiK chia sẻ, kẻ tấn công đã mint 1 tỷ token Polkadot (DOT) dạng bridge chỉ trong một giao dịch trên Hyperbridge. Vụ exploit chỉ ảnh hưởng đến DOT trên Ethereum được bridge qua Hyperbridge, trong khi DOT native và toàn bộ hệ sinh thái Polkadot không bị ảnh hưởng, phía Polkadot cho biết trong một bài đăng trên X hôm thứ Hai.
CertiK cho biết hacker đã mint được số token này sau khi “chèn một thông điệp giả mạo nhằm thay đổi quyền admin của hợp đồng token Polkadot trên Ethereum.” Thanh khoản hạn chế trong pool DOT bridge khiến số tiền hacker thu được bị giới hạn ở mức 108.2 ETH, tương đương khoảng 237.000 USD.
Hyperbridge tạm dừng hoạt động sau vụ exploit
Hyperbridge đã tạm dừng hoạt động sau cuộc tấn công trong khi đội ngũ tiến hành nâng cấp hệ thống. Một contributor có tên Web3 Philosopher cho biết chẩn đoán ban đầu cho thấy nguyên nhân đến từ một bằng chứng (proof) độc hại đánh lừa trình xác minh Merkle tree của giao thức.
Vụ exploit này đáng chú ý vì Hyperbridge từng quảng bá себя là một lớp tương tác dựa trên proof, được thiết kế để cung cấp “bảo mật cấp full node” cho các cầu nối cross-chain. Sự cố cũng diễn ra ngay sau khi Aethir tiết lộ tuần trước rằng họ đã kiểm soát một vụ exploit bridge khác, với thiệt hại người dùng dưới 90.000 USD.
Công ty nghiên cứu bảo mật Blocksec Falcon nhận định nguyên nhân có thể là do lỗ hổng replay proof trong Merkle Mountain Range (MMR), xuất phát từ việc thiếu ràng buộc giữa proof và request, dù nguyên nhân chính thức vẫn chưa được xác nhận bởi giao thức.
Token DOT native đã giảm nhẹ xuống mức thấp trong ngày là 1.16 USD vào thứ Hai, trước khi phục hồi lên trên 1.19 USD tại thời điểm viết bài, theo CoinGecko.
Hacker khai thác SubQuery Network, đánh cắp 130.000 USD
Các sự cố bảo mật vẫn tiếp tục xảy ra với các giao thức crypto, dù tổng thiệt hại từ các vụ exploit DeFi đã giảm mạnh so với cùng kỳ năm trước.
Vào Chủ nhật, giao thức indexing dữ liệu SubQuery Network cũng bị khai thác với thiệt hại khoảng 130.000 USD do thiếu cơ chế kiểm soát quyền truy cập trong dữ liệu, khiến đoạn code được viết từ hơn 2 năm trước bị lộ lỗ hổng.
Lỗ hổng này cho phép hacker thiết lập hợp đồng của riêng mình làm địa chỉ nhận phần thưởng staking, theo chuyên gia audit bảo mật blockchain Pashov chia sẻ trên X.
Trong quý 1/2026, hacker đã đánh cắp hơn 168 triệu USD từ 34 giao thức tài chính phi tập trung (DeFi), giảm đáng kể so với mức 1.58 tỷ USD trong quý 1/2025 – thời điểm xảy ra vụ hack kỷ lục 1.4 tỷ USD của Bybit.
