Cầu nối Verus–Ethereum bị hack hơn 11,5 triệu USD: Lỗ hổng cross-chain tiếp tục ám ảnh DeFi

1. Verus–Ethereum Bridge bị khai thác hơn 11,5 triệu USD

Ngày 18/05/2026, thị trường DeFi tiếp tục ghi nhận một vụ tấn công mới nhắm vào hạ tầng cross-chain khi cầu nối Verus–Ethereum Bridge bị khai thác, gây thiệt hại khoảng 11,4–11,58 triệu USD. Sự cố được các đơn vị bảo mật on-chain như PeckShield và Blockaid cảnh báo công khai, trong khi đội ngũ Verus vẫn chưa đưa ra tuyên bố chính thức tại thời điểm các báo cáo ban đầu được lan truyền.

Theo dữ liệu on-chain, hacker đã rút khỏi cầu nối khoảng 103,6 tBTC, 1.625 ETH và 147.000 USDC. Ngay sau đó, toàn bộ tài sản bị đánh cắp được hoán đổi qua Uniswap thành khoảng 5.402,4 ETH, rồi chuyển về một ví Ethereum duy nhất. Một số nguồn thị trường cũng ghi nhận Verus Coin giảm nhẹ trong 24 giờ sau sự cố, phản ánh tâm lý thận trọng của nhà đầu tư.

2. Dòng tiền bị đánh cắp hiện đang nằm ở đâu?

Dữ liệu cộng đồng on-chain cho thấy ví nhận tài sản sau khi swap là: 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

Trong khi đó, địa chỉ attacker ban đầu được xác định là: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777

Đáng chú ý, ví attacker được nạp trước 1 ETH thông qua Tornado Cash khoảng 14 giờ trước khi vụ tấn công diễn ra. Đây là mô típ khá quen thuộc trong nhiều vụ hack DeFi, khi hacker chuẩn bị một lượng ETH nhỏ để trả gas, đồng thời che giấu nguồn gốc ví trước khi triển khai khai thác.

3. Cơ chế tấn công: lỗi xác thực thông điệp cross-chain

Theo phân tích ban đầu từ cộng đồng bảo mật, vụ việc nhiều khả năng bắt nguồn từ lỗi xác thực thông điệp liên chuỗi. Hacker được cho là đã gửi một giao dịch Verus có chi phí rất thấp, chứa phần export rỗng nhưng vẫn tạo ra hash hợp lệ. Điều này khiến cầu nối hiểu nhầm rằng có một giao dịch hợp lệ từ phía Verus, từ đó giải phóng tài sản trên Ethereum dù thực tế không có khoản deposit tương ứng.

Một số phân tích khác đề cập đến khả năng sử dụng Merkle proof giả mạo để vượt qua lớp kiểm tra của bridge. Dù chi tiết cuối cùng vẫn cần post-mortem chính thức từ Verus, bản chất vấn đề vẫn nằm ở điểm yếu quen thuộc của cầu nối: hệ thống phải “tin” vào dữ liệu đến từ một chain khác, và chỉ cần cơ chế kiểm chứng sai lệch, tài sản ký quỹ có thể bị rút sạch.

Xem thêm: Pre-IPO Stock là gì? Những điều cần lưu ý trước khi đầu tư

4. Verus là gì và vì sao cầu nối này quan trọng?

Verus là một blockchain tập trung vào quyền riêng tư, ra mắt từ năm 2018 và sử dụng mô hình đồng thuận lai giữa proof-of-work và proof-of-stake. Dự án phát triển nhiều thành phần như VerusID, PBaaS và khả năng interoperability nhằm kết nối tài sản giữa các hệ sinh thái. Trang chính thức của Verus cũng mô tả dự án như một giao thức nhấn mạnh quyền sở hữu dữ liệu, tiền và danh tính của người dùng.

Cầu nối Verus–Ethereum được triển khai để giúp tài sản di chuyển giữa Verus và Ethereum. Nhưng chính vai trò trung gian này cũng biến bridge trở thành “kho bạc” chứa lượng tài sản lớn, khiến nó trở thành mục tiêu hấp dẫn cho hacker.

5. Tác động đến thị trường và người dùng

Ở thời điểm hiện tại, chưa có xác nhận chính thức về việc người dùng cá nhân có được bồi thường hay không. Tuy nhiên, cộng đồng đang khuyến cáo không nên sử dụng cầu nối Verus–Ethereum cho đến khi dự án công bố bản vá, post-mortem và xác nhận hệ thống an toàn trở lại.

Vụ việc cũng tiếp tục làm dày thêm danh sách các cuộc tấn công DeFi trong năm 2026. Chỉ riêng tháng 4, thị trường đã chứng kiến nhiều vụ lớn như Kelp DAO, Drift Protocol và các sự cố bridge khác, với tổng thiệt hại lên tới hàng trăm triệu USD. Điều này cho thấy làn sóng tấn công vào hạ tầng interoperability vẫn chưa hạ nhiệt.

6. Kết luận

Vụ hack Verus–Ethereum Bridge hơn 11,5 triệu USD là lời nhắc mới nhất rằng cross-chain bridge vẫn là mắt xích dễ tổn thương nhất trong DeFi. Dù blockchain riêng lẻ có thể an toàn, phần kết nối giữa các chain lại thường chứa nhiều giả định bảo mật phức tạp và khó kiểm toán tuyệt đối.

Cho đến khi Verus công bố báo cáo kỹ thuật chính thức, người dùng nên thận trọng, tránh tương tác với bridge và theo dõi các cảnh báo từ các đơn vị bảo mật on-chain. Trong DeFi, rủi ro lớn nhất đôi khi không nằm ở tài sản bạn nắm giữ, mà nằm ở cây cầu bạn dùng để di chuyển tài sản đó.

Lưu ý: Nội dung bài viết nhằm mục đích cung cấp thông tin và kiến thức tổng hợp từ các nguồn công khai về dự án. Đây không phải là khuyến nghị đầu tư. Blockintosh không chịu trách nhiệm đối với bất kỳ quyết định tài chính hay rủi ro nào phát sinh từ việc sử dụng thông tin trong bài viết.

Xem thêm: Kevin Warsh là ai? Tân Chủ tịch Fed có thể tác động thế nào đến lãi suất, Bitcoin và thị trường toàn cầu