Tổ chức an ninh CertiK vào ngày 13 tháng 4 đã phát hiện hợp đồng cổng liên chuỗi Hyperbridge bị tấn công khai thác lỗ hổng. Kẻ tấn công đã sử dụng tin nhắn giả mạo để vượt qua quá trình xác thực của hợp đồng, thành công chiếm quyền quản trị của hợp đồng mã thông báo DOT phiên bản được liên kết (bridge) của Polkadot, và ngay lập tức đúc trái phép 1 tỷ DOT phiên bản được liên kết rồi bán sạch toàn bộ trong một giao dịch duy nhất; cuối cùng lợi nhuận thu được chỉ là 108.2 ETH, tương đương 237 nghìn đô la Mỹ.
Cơ chế tấn công: Tin nhắn liên chuỗi giả mạo đã giành quyền quản trị như thế nào
(Nguồn: CertiK)
Hyperbridge là một giao thức cổng liên chuỗi được triển khai trên Ethereum, cho phép tài sản của các mạng như Polkadot được lưu thông trên Ethereum dưới dạng mã thông báo được liên kết. Theo giám sát của CertiK, kẻ tấn công đã xác định lỗ hổng xác thực tin nhắn trong hợp đồng; bằng cách tạo các tin nhắn liên chuỗi giả mạo để vượt qua kiểm tra tính hợp lệ cần thiết, kẻ tấn công đã giành được quyền kiểm soát quản trị của hợp đồng mã thông báo DOT phiên bản được liên kết.
Sau khi có quyền quản trị, kẻ tấn công thực hiện các thao tác đúc token trái phép, tạo ra một cách vô căn cứ 1 tỷ DOT phiên bản được liên kết, rồi ngay lập tức bán hết trong một giao dịch duy nhất. Toàn bộ quy trình—giả mạo tin nhắn, thay đổi quản trị, đúc tiền, xả hàng (clear) —đều được thực hiện trên chuỗi; nền tảng theo dõi Lookonchain xác nhận rằng giao dịch cuối cùng chỉ thu về 108.2 ETH để tiền mặt hóa.
Vì sao 1 tỷ token chỉ đổi được 237 nghìn đô la Mỹ: Toán học khắc nghiệt của bẫy thanh khoản
Chi tiết mang ý nghĩa mỉa mai nhất trong cuộc tấn công này là khoảng chênh lệch rất lớn giữa 1 tỷ token và 237 nghìn đô la Mỹ. Dữ liệu từ Lookonchain cho thấy, trước khi xả hàng, giá niêm yết của DOT phiên bản được liên kết vào khoảng 1.22 đô la Mỹ; về mặt lý thuyết, không gian chênh lệch đầu cơ tối đa có thể vượt quá 1.2 tỷ đô la Mỹ; tuy nhiên, lượng bán tháo khổng lồ của 1 tỷ token trong khoảnh khắc đã vượt quá độ sâu thanh khoản có thể hấp thụ trên chuỗi. Giá đồng đã giảm từ 1.22 đô la Mỹ xuống gần như bằng 0; phần lớn lượng token được đúc thêm coi như vô giá trị.
Đây là “bẫy thanh khoản” điển hình: kẻ tấn công có thể tạo ra token, nhưng không thể tạo ra người mua.
Tóm tắt dữ liệu then chốt của cuộc tấn công lần này
Hợp đồng bị tấn công: Hợp đồng cổng liên chuỗi Hyperbridge trên chuỗi Ethereum
Cách thức tấn công: Giả mạo tin nhắn liên chuỗi, thay đổi quyền quản trị của hợp đồng mã thông báo DOT phiên bản được liên kết
Khối lượng đúc trái phép: 1 tỷ token DOT phiên bản được liên kết trên Ethereum
Giá token trước khi xả: Khoảng 1.22 đô la Mỹ; sau khi xả: gần như bằng 0
Lợi nhuận thực tế của kẻ tấn công: 108.2 ETH (khoảng 237 nghìn đô la Mỹ)
Chênh lệch đầu cơ cao nhất theo lý thuyết: Nếu thanh khoản đủ dồi dào, về mặt lý thuyết có thể vượt quá 1.2 tỷ đô la Mỹ
Phạm vi bị ảnh hưởng: DOT phiên bản được liên kết trên Ethereum; chuỗi gốc Polkadot không bị ảnh hưởng trực tiếp
Phân biệt quan trọng: Ranh giới an toàn giữa tài sản được liên kết và DOT gốc của Polkadot
Mục tiêu của cuộc tấn công lần này là hợp đồng mã thông báo DOT phiên bản được liên kết được triển khai trên Ethereum; cơ chế đồng thuận của chuỗi chính gốc Polkadot và token DOT gốc trong sự kiện này đều không bị tấn công hoặc ảnh hưởng trực tiếp.
Các cổng liên chuỗi trong thời gian dài là một trong những mắt xích có rủi ro an toàn tập trung nhất trong hệ sinh thái DeFi. Các hợp đồng thông minh của tài sản được liên kết thường được triển khai độc lập; tiêu chuẩn kiểm toán và cơ chế giám sát an toàn của chúng có thể khác với chuỗi gốc, khiến kẻ tấn công có thể, mà không cần đụng đến chuỗi chính, chỉ riêng dùng lỗ hổng của hợp đồng cổng liên chuỗi để gây ra sự phá hoại. Người nắm giữ tài sản được liên kết cần hiểu rõ rằng rủi ro họ gánh chịu không chỉ đến từ chuỗi nền tảng (main chain), mà còn bao gồm cả tính an toàn của hợp đồng thuộc hạ tầng cổng liên chuỗi.
Câu hỏi thường gặp
Hyperbridge là gì? Nó liên quan gì đến Polkadot?
Hyperbridge là một giao thức cổng liên chuỗi được triển khai trên Ethereum, cho phép tài sản của các mạng như Polkadot lưu thông trên Ethereum dưới dạng mã thông báo được liên kết; đây là một trong những cơ sở hạ tầng kết nối hệ sinh thái Polkadot và Ethereum. Tuy nhiên, về kiến trúc kỹ thuật, nó độc lập với vận hành của chuỗi chính gốc Polkadot.
Kẻ tấn công đã đúc 1 tỷ DOT, vậy vì sao cuối cùng chỉ kiếm được 237 nghìn đô la Mỹ?
Khi kẻ tấn công xả 1 tỷ DOT phiên bản được liên kết, độ sâu thanh khoản trên chuỗi Ethereum không đủ xa để tiếp nhận một lệnh bán với quy mô lớn như vậy. Áp lực bán đã khiến giá token giảm từ 1.22 đô la Mỹ xuống gần như bằng 0 trong khoảnh khắc, làm cho phần lớn lượng token được đúc gần như không thể chuyển thành tiền; cuối cùng, chỉ có thể bán trước một tỷ lệ rất nhỏ trước khi thị trường sụp đổ, thu về tiền mặt khoảng 108.2 ETH.
Cuộc tấn công này có ảnh hưởng đến những người nắm giữ DOT trên chuỗi gốc Polkadot không?
Theo phân tích của CertiK, mục tiêu tấn công là hợp đồng DOT phiên bản được liên kết trên Ethereum; chuỗi chính gốc Polkadot và token DOT gốc không bị ảnh hưởng trực tiếp. Các nhà đầu tư nắm giữ DOT của chuỗi chính Polkadot phải đối mặt với tác động về mặt tâm lý thị trường gián tiếp, chứ không phải rủi ro an toàn trực tiếp của tài sản nền tảng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
ETH bứt phá lên $2,404 sẽ kích hoạt 1,093 tỷ USD thanh lý khống trên các CEX lớn
Tin tức sàn Gate, ngày 28 tháng 4 — Theo dữ liệu của Coinglass, nếu ETH vượt lên trên $2,404, sức mạnh thanh lý khống tích lũy trên các sàn giao dịch tập trung lớn sẽ đạt 1,093 tỷ USD.
Ngược lại, nếu ETH giảm xuống dưới $2,176, sức mạnh thanh lý mua tích lũy trên các CEX lớn sẽ đạt 697
GateNews1giờ trước
NAWS (NAWS.AI) tăng 34.92% trong 24 giờ
Tin tức Gate News, ngày 28 tháng 4, theo dữ liệu diễn biến của Gate, tính đến thời điểm đăng bài, NAWS (NAWS.AI) hiện đang ở mức 0.00071 USD, tăng 34.92% trong 24 giờ qua, chạm mức cao nhất 0.000713 USD và giảm xuống mức thấp nhất 0.000524 USD, khối lượng giao dịch trong 24 giờ đạt 2817.12 USD. Vốn hóa thị trường hiện vào khoảng 1.4145 triệu USD.
NAWS là một nền tảng không cần mã (no-code) cho phép người dùng bán các tài sản/gói nội dung Web2, Web3 và chứng từ DePIN. Hệ thống thanh toán mã hóa P2P sử dụng bộ tổng hợp DEX AI để thực hiện các khoản thanh toán an toàn, chi phí thấp, cho phép người dùng lựa chọn token để giao dịch. Các quỹ và dự án có thể sử dụng token của họ để phát triển hệ sinh thái của mình. NAWS Quest thưởng cho các hoạt động của người dùng thông qua điểm tích lũy từ token có thể quy đổi
GateNews2giờ trước
Meme Trader CryptoD ghi nhận lợi nhuận 8.220% trên SCAM, mua vào trong vòng chưa tới 2 phút sau khi ra mắt
Tin tức Gate, ngày 28 tháng 4 — Những lời đả kích lặp đi lặp lại của Elon Musk nhắm vào CEO OpenAI Sam Altman, sử dụng cụm từ "Scam Altman" trên X vào đầu ngày hôm nay, đã thổi bùng thị trường coin Meme, kích hoạt mức tăng nhanh đối với token Meme SCAM dựa trên Solana. Token này đã vọt lên ngay sau khi ra mắt, với vốn hóa thị trường đạt đỉnh là triệu và hiện đang giao dịch ở mức triệu.
GateNews2giờ trước
ORCA (OrcaDAO) tăng 10.00% trong 24 giờ
Tin tức Gate, ngày 28 tháng 4. Theo dữ liệu giá của Gate, tính đến thời điểm đăng bài, ORCA (OrcaDAO) hiện đang ở mức 1.45 USD, tăng 10.00% trong 24 giờ qua. Mức cao nhất chạm 2.07 USD, mức thấp nhất lùi về 1.18 USD. Khối lượng giao dịch trong 24 giờ đạt 6.9508 triệu USD. Vốn hóa hiện tại vào khoảng 88.1886 triệu USD.
Orca là AMM nhanh chóng và tiện lợi trên Solana. Orca được tạo thành từ một nhóm tinh gọn gồm hai người: một kỹ sư phần mềm có kinh nghiệm sâu rộng về các giao thức blockchain, và một kỹ sư phần mềm/nhà thiết kế tương tác giỏi trong việc tạo ra trải nghiệm số lấy con người làm trung tâm.
Tin này không phải là lời khuyên đầu tư; đầu tư cần lưu ý rủi ro biến động của thị trường.
GateNews3giờ trước
Cảnh báo Tăng giá TradFi: TW88 (MSCI Taiwan) Tăng hơn 1.5%
Tin tức Gate: Theo dữ liệu Gate TradFi mới nhất, TW88 (MSCI Taiwan) đã tăng vọt 1.5% trong thời gian ngắn. Mức độ biến động hiện tại cao hơn đáng kể so với mức trung bình gần đây, cho thấy hoạt động thị trường đang gia tăng.
GateNews4giờ trước
Bitcoin giảm về mức 77.000 USD, lợi nhuận của Trump bị cản trở bởi tiến trình lập pháp của Dự luật “CLARITY”
Bitcoin (BTC) vào ngày 28 tháng 4 đã giảm xuống 76,998.51 USD, không thể vượt qua một cách hiệu quả mức kháng cự 79,000 USD. Theo dữ liệu thị trường, khối lượng giao dịch trong 24 giờ tăng lên 40 tỷ USD, các lệnh thanh lý vị thế Long trong ngày đạt 107.1 triệu USD. Một trong những bối cảnh vĩ mô chính khiến thị trường giảm, là dự luật Đạo luật Minh bạch Thị trường Tài sản Số của Mỹ (Đạo luật CLARITY) bị đình trệ tại Thượng viện do tranh cãi về các điều khoản đạo đức.
MarketWhisper4giờ trước
