Cách đây khoảng 4 giờ (13/04/2026), cộng đồng crypto xôn xao trước một transaction đáng chú ý trên Ethereum. Transaction hash 0x240aeb9a8b2aabf64ed8e1e480d3e7be140cf530dc1e5606cb16671029401109 đã tiết lộ một vụ tấn công nghiêm trọng liên quan đến Hyperbridge – một công chuyển xuyên chuỗi của Polytope Labs kết nối Polkadot với Ethereum.
Đây không phải là tấn công trực tiếp vào chuỗi Polkadot, mà là lỗ hổng trong hợp đồng bridge thứ ba, cho phép kẻ tấn công đúc thêm một lượng khổng lồ 1 tỷ DOT giả mạo trên Ethereum và thu về khoảng 108,2 ETH (tương đương ~237.000 USD lúc xảy ra).
Mục lục
Tóm tắt vụ việc
Kẻ tấn công đã khai thác thành công một lỗ hổng validation message trong HandlerV1 contract của Hyperbridge. Thông qua việc giả mạo một cross-chain message (PostRequest), họ thay đổi quyền admin của hợp đồng ERC20 DOT bridged trên Ethereum, sau đó mint 1 tỷ token DOT giả và swap lấy ETH trên Uniswap V4 + Odos Router.
Toàn bộ quá trình diễn ra chỉ trong một transaction duy nhất, tốn chưa đến 0,00034 ETH gas. Quan trọng cần nhấn mạnh: Vụ việc chỉ ảnh hưởng đến DOT trên Ethereum, không chạm đến DOT gốc trên chuỗi Polkadot.
Tuy nhiên, do thanh khoản cực mỏng trên Ethereum, việc xả 1 tỷ token đã khiến giá DOT tụt từ ~1,22 USD xuống gần như 0 ngay lập tức.
Phân tích on-chain chi tiết
Transaction được khởi tạo từ địa chỉ EOA: 0xC513E4f5D7a93A1Dd5B7C4D9f6cC2F52d2F1F8E7. Nó tương tác với một contract proxy/executor mới được tạo: 0x518AB393c3F42613d010b54a9Dcbe211e3d48f26.
Các hợp đồng chính liên quan:
- Token DOT bridged (Polytope Labs): 0x8d010bf9c26881788b4e6bf5fd1bdc358c8f90b8
- Hyperbridge Gateway / HandlerV1
- Uniswap V4 Pool Manager và Odos Router V3 (để swap)
Các event quan trọng trong transaction:
- AssetAdminChanged: Quyền admin của hợp đồng DOT bị chuyển sang địa chỉ relayer mới do attacker kiểm soát (0x31a165a956842ab783098641db25c7a9067ca9ab).
- PostRequestHandled: Xử lý message giả mạo với commitment hash B870F0CA…
- Mint 1 tỷ DOT từ address zero → chuyển cho relayer → swap lấy ETH.
Attacker đã tận dụng cơ chế Merkle Mountain Range (MMR) proof để verify message cross-chain, nhưng cài đặt của HandlerV1 có lỗi nghiêm trọng.
Nguyên nhân gốc rễ
Lỗ hổng nằm sâu trong HandlerV1 contract của Hyperbridge. Cụ thể:
- Hệ thống sử dụng MMR proof để xác thực message từ Polkadot sang Ethereum.
- Tuy nhiên, proof không được bind chặt chẽ với request cụ thể (thiếu nonce hoặc unique identifier đủ mạnh).
- Điều này cho phép replay attack: Attacker tái sử dụng một proof hợp lệ trước đó nhưng gắn kèm payload/message giả mạo mới.
Kết quả: Hyperbridge gateway “tin tưởng” message là thật, cho phép thay đổi admin token contract và mint token không giới hạn. Đây là lớp lỗi validation message điển hình từng xuất hiện ở nhiều bridge khác (CrossCurve, Nomad…). Dù Hyperbridge tự hào về công nghệ cryptographic proof, nhưng cài đặt vẫn tồn tại lỗi chí mạng.
Tác động thực tế
- Bridged DOT trên Ethereum: Gần như “chết”. Thanh khoản cạn kiệt, giá token sụp đổ 99%.
- DOT native trên Polkadot: Hoàn toàn an toàn, không bị đúc thêm. Giá chỉ giảm nhẹ 3-7% do tâm lý FUD từ thị trường.
- Attacker chỉ thu về ~237.000 USD thay vì giá trị khổng lồ của 1 tỷ token, vì chính họ đã “tự hại” giá trị token fake khi dump ồ ạt.
Tính đến thời điểm hiện tại, Polytope Labs và đội ngũ Polkadot chưa có tuyên bố chính thức. Nhiều công ty bảo mật on-chain như CertiK, BlockSec cùng các thám tử on-chain đã nhanh chóng gán cờ và phân tích vụ việc chỉ trong vòng 1-2 giờ sau khi có giao dịch.
Bài học và khuyến nghị
Vụ tấn công một lần nữa khẳng định: Bridge vẫn là vectơ rủi ro lớn nhất trong hệ thống mật mã sinh thái, với tỷ lệ USD đã bị mất vì lỗi giả mạo tin nhắn và tấn công lại trong những năm qua. Dù công nghệ ZK hay bằng chứng mật mã đã tiên tiến đến đâu, việc triển khai gần như vẫn có thể dẫn đến thảm họa.
Vụ tấn công một lần nữa khẳng định: Bridge vẫn là vector rủi ro lớn nhất trong hệ sinh thái crypto, với hàng tỷ USD đã mất vì các lỗi message forgery và replay attack trong những năm qua. Dù công nghệ ZK hay cryptographic proof có tiên tiến đến đâu, implementation kém vẫn có thể dẫn đến thảm họa.
Đối với người dùng:
- Tránh sử dụng bridged assets nếu không thực sự cần thiết, hoặc chỉ dùng lượng nhỏ.
- Luôn kiểm tra kỹ địa chỉ hợp đồng trước khi tương tác.
- Theo dõi kênh chính thức của Hyperbridge và Polkadot để cập nhật thông tin (nếu có).
Vụ việc này là một bài học điển hình cho lớp “bridge exploit 2026” – sạch sẽ, nhanh chóng và khai thác đúng vào điểm yếu cốt lõi của cơ sở hạ tầng xuyên chuỗi. Trong khi DOT gốc vẫn an toàn, cộng đồng cần tiếp tục cảnh báo độ cao với mọi giải pháp cầu thứ ba
Giữ an toàn và luôn DYOR!
Mình là lập trình viên, mặc dù cũng đã khá lớn tuổi nhưng vẫn thích Lập trình. Gần đây mình tập trung tìm hiểu nhiều hơn về Lĩnh vực Blockchain. Với kiến thức tìm hiểu được, mình muốn viết ra để lưu lại cũng như để chia sẻ cho những người quan tâm. Mong mọi người góp ý và có thể cùng mình chia sẻ nhiều kiến thức hơn cho cộng đồng.
Trả lời