Hyperbridge bị khai thác trên Ethereum, 1 tỷ token Polkadot giả được mint và bán tháo

1. Hyperbridge bị tấn công, nhưng không ảnh hưởng đến DOT gốc trên Polkadot

Thị trường crypto sáng ngày 13/04 ghi nhận một vụ khai thác đáng chú ý nhắm vào Hyperbridge, trong đó kẻ tấn công đã mint trái phép 1 tỷ DOT phiên bản bridged trên Ethereum rồi bán tháo toàn bộ để đổi lấy khoảng 108,2 ETH, tương đương gần 237.000 USD. Các báo cáo ban đầu cho thấy vụ việc xảy ra ở phía hợp đồng bridge trên Ethereum, không phải trên Polkadot mainnet hay DOT gốc trong hệ sinh thái Polkadot.

hyperbridge-bi-khai-thac-tren-ethereum-1-ty-token-polkadot-gia-duoc-mint-va-ban-thao3.png

Thực tế, phần bị ảnh hưởng là DOT được cầu nối sang Ethereum thông qua Hyperbridge, còn relay chain của Polkadot và các parachain liên quan vẫn hoạt động bình thường.

2. Giá DOT trên Ethereum gần như về 0, trong khi DOT trên các sàn chỉ giảm nhẹ

Một điểm đáng chú ý trong vụ exploit Hyperbridge là sự phân kỳ giá rất lớn giữa DOT bridged trên Ethereum và DOT native trên các sàn giao dịch. Ngay sau khi kẻ tấn công mint 1 tỷ DOT giả và bán tháo toàn bộ vào các pool thanh khoản trên Ethereum, giá DOT phiên bản bridged gần như sụp đổ về 0 USD chỉ trong vài phút. Nguyên nhân là vì các pool thanh khoản trên DEX không đủ sâu để hấp thụ lượng token khổng lồ được tạo ra đột ngột, khiến giá bị slippage cực mạnh.

hyperbridge-bi-khai-thac-tren-ethereum-1-ty-token-polkadot-gia-duoc-mint-va-ban-thao4.png

Trong khi đó, DOT native trên Polkadot và các sàn giao dịch tập trung như Binance, OKX hay Bybit chỉ giảm khoảng 3–4%, phản ánh tâm lý thận trọng của thị trường hơn là một sự cố hệ thống nghiêm trọng. Khi bridge gặp sự cố, phiên bản token trên chain đích có thể mất peg hoặc mất giá trị, trong khi asset gốc trên chain nguồn vẫn giữ được giá trị thị trường của mình.

Xem thêm: Shelby là gì? Hướng dẫn săn airdrop Shelby giao thức lưu trữ hot storage trên Aptos

3. Cơ chế tấn công Hyperbridge: giả mạo thông điệp và chiếm quyền quản trị

Lỗ hổng nằm trong HandlerV1 contract của Hyperbridge trên Ethereum. Vấn đề cốt lõi là một MMR proof replay vulnerability, tức cơ chế xác minh proof không ràng buộc chặt chẽ proof với request tương ứng. Điều này cho phép attacker tái sử dụng proof hợp lệ trong quá khứ để tạo request giả, từ đó thay đổi quyền admin của hợp đồng token bridged DOT và mint thêm token không có tài sản bảo chứng phía sau.

hyperbridge-bi-khai-thac-tren-ethereum-1-ty-token-polkadot-gia-duoc-mint-va-ban-thao2.png

Sau khi giành được quyền kiểm soát cần thiết, kẻ tấn công đã mint khoảng 1 tỷ DOT giả trên Ethereum rồi xả ngay ra thị trường. Một phần nhỏ khác của vụ việc còn liên quan tới ARGN, với thiệt hại khoảng 3.800 USD, trong khi phần DOT chiếm khoảng 237.400 USD. Tổng thiệt hại được ước tính quanh 242.000 USD.

4. Vụ Hyperbridge một lần nữa cho thấy bridge vẫn là mắt xích yếu nhất của crypto

Dù thiệt hại lần này không lớn so với những vụ hack lịch sử, sự cố Hyperbridge vẫn nhắc lại một thực tế quen thuộc: cross-chain bridge là một trong những bề mặt tấn công nguy hiểm nhất trong crypto. Khi một bridge phụ thuộc vào logic xác minh thông điệp, proof hay quyền quản trị của hợp đồng đích, chỉ một sai sót nhỏ cũng có thể dẫn tới việc mint ra tài sản không được bảo chứng.

hyperbridge-bi-khai-thac-tren-ethereum-1-ty-token-polkadot-gia-duoc-mint-va-ban-thao5.png

Các vụ hack lớn trước đây như Ronin, Wormhole hay Nomad đã cho thấy hậu quả của lỗi bridge có thể lên tới hàng trăm triệu USD. Trong trường hợp Hyperbridge, quy mô thiệt hại nhỏ hơn chủ yếu vì thanh khoản bridged DOT thấp, chứ không phải vì lỗ hổng không nghiêm trọng. Nếu thanh khoản sâu hơn, hậu quả tài chính có thể lớn hơn nhiều.

5. Nhà đầu tư cần lưu ý gì sau vụ DOT bridged bị khai thác?

Bài học lớn nhất từ sự cố này là cần phân biệt rõ giữa native asset và bridged asset. Một token được cầu nối sang chain khác luôn mang thêm rủi ro từ hạ tầng bridge, hợp đồng đích và cơ chế xác minh thông điệp. Ngay cả khi chain gốc an toàn, phiên bản bridged của token đó vẫn có thể bị mint giả, mất peg hoặc bị bán tháo nếu bridge gặp vấn đề.

Tuy nhiên, với những ai nắm giữ DOT bridged trên Ethereum hoặc tham gia các pool thanh khoản liên quan, rủi ro lần này là hoàn toàn có thật.

Lưu ý: Nội dung bài viết nhằm mục đích cung cấp thông tin và kiến thức tổng hợp từ các nguồn công khai về dự án. Đây không phải là khuyến nghị đầu tư. Blockintosh không chịu trách nhiệm đối với bất kỳ quyết định tài chính hay rủi ro nào phát sinh từ việc sử dụng thông tin trong bài viết.

Xem thêm: Lừa đảo tiền mã hóa gây thiệt hại 11,4 tỷ USD trong năm 2025: Báo cáo FBI cảnh báo làn sóng lừa đảo

Hyperbridge bị khai thác trên Ethereum, 1 tỷ token Polkadot giả được mint và bán tháo

1. Hyperbridge bị tấn công, nhưng không ảnh hưởng đến DOT gốc trên Polkadot

2. Giá DOT trên Ethereum gần như về 0, trong khi DOT trên các sàn chỉ giảm nhẹ

3. Cơ chế tấn công Hyperbridge: giả mạo thông điệp và chiếm quyền quản trị

4. Vụ Hyperbridge một lần nữa cho thấy bridge vẫn là mắt xích yếu nhất của crypto

5. Nhà đầu tư cần lưu ý gì sau vụ DOT bridged bị khai thác?

Về Shawn

Bài viết liên quan

Covenant AI rời Bittensor, cáo buộc “decentralization theatre”: TAO giảm mạnh 15% giữa khủng hoảng niềm tin

Tags:

Dự án nhà Trump - WLFI bị tố “xả” token qua Dolomite: Thực chất là bán ngầm hay chỉ là đòn bẩy treasury?

Bộ Tài chính Mỹ mở lấy ý kiến về quy định stablecoin cấp bang dưới GENIUS Act

Drift Protocol bị hack 285 triệu USD: Cuộc tấn công kéo dài 6 tháng và kết thúc chỉ trong 12 phút

Telegram Wallet tích hợp giao dịch perpetual futures qua Lighter

KB Card hợp tác Avalanche phát triển thẻ tín dụng stablecoin “hybrid”