Tổn thất do vụ hack cầu nối Polkadot-Ethereum còn tệ hơn 10 lần so với báo cáo, nhóm thừa nhận

Chỉ vài ngày sau khi decentralized finance (DeFi) lĩnh vực này lan tỏa, cả cộng đồng như đồng loạt thở phào nhẹ nhõm trước những gì được cho là một vụ “mega-hack” thất bại, thì giờ đây thực tế u ám đã ập đến. Nhóm đứng sau Hyperbridge, giao thức cross-chain hỗ trợ cầu nối Polkadot-Ethereum, đã thừa nhận rằng thiệt hại tài chính từ vụ khai thác trong tuần này còn nghiêm trọng hơn rất nhiều so với dự đoán ban đầu.

Ban đầu được các nhà nghiên cứu bảo mật bác bỏ như một cuộc cướp có lỗi, chỉ mang về vỏn vẹn 237.000 USD, Hyperbridge hiện đã điều chỉnh tổng số lỗ tăng lên khoảng 2,5 triệu USD—mức tăng chóng mặt gấp 10 lần so với các báo cáo sơ bộ.

Dưới đây là phần phân tích sâu về cách kẻ tấn công thực hiện vụ mint một tỷ token, vì sao các khoản lỗ thực sự lại không bị phát hiện trong nhiều ngày, và thị trường hôm nay đang phản ứng ra sao.

Vụ khai thác: Làm thế nào 1 tỷ DOT được mint “từ hư không”

Cuộc tấn công diễn ra vào Chủ nhật, khi một kẻ khai thác nhắm vào một lỗ hổng quan trọng trong hợp đồng cổng Ethereum của Hyperbridge. Các cầu nối (bridge) vẫn là điểm yếu chí mạng của hạ tầng cross-chain, vì chúng đóng vai trò là bên lưu ký; nếu logic xác thực của chúng bị sai, thì toàn bộ “chìa khóa của vương quốc” sẽ bị lộ hoàn toàn.

Theo các bản phân tích hậu sự trên chuỗi (on-chain post-mortems), kẻ tấn công đã thành công trong việc gửi một thông điệp cross-chain giả mạo, vượt qua khâu xác thực bằng chứng trạng thái từ Polkadot. Hợp đồng đã ghi nhận một giá trị cam kết “tất cả là số không” bị lỗi là hợp lệ, về cơ bản đã trao quyền kiểm soát cấp quản trị (admin-level) cho hợp đồng token DOT được bắc cầu trên Ethereum.

Khi đã nắm trong tay các “key” chính (master keys), kẻ tấn công đã thực hiện một lệnh duy nhất, gây thảm họa: mint 1 tỷ token Polkadot tổng hợp (về mặt khái niệm có giá trị hơn 1,19 tỷ USD tại thời điểm đó).

Ảo tưởng về “phi vụ cướp” thất bại

Lúc ban đầu, truyền thông crypto—and cả chính kẻ tấn công—đã vấp phải một bức tường trớ trêu: thanh khoản nông.

Khi hacker cố gắng xả 1 tỷ token thông qua Odos Router V3 vào pool Uniswap V4 DOT-ETH, quy mô khổng lồ của lệnh bán ngay lập tức làm cho lượng thanh khoản sẵn có không thể đáp ứng. Họ chỉ nhận được một phần trăm xu mỗi token. Theo dõi ban đầu của các công ty như Arkham Intelligence cho thấy kẻ tấn công rút đi khoảng 108 ETH, và chuyển khoảng 269.000 USD thông qua máy trộn quyền riêng tư Tornado Cash.

Trong 48 giờ, câu chuyện được đồn rằng kẻ tấn công đã chấp nhận rủi ro lớn chỉ để “bỏ túi mấy đồng lẻ”. Nhưng dữ liệu được cập nhật lại vẽ ra một bức tranh DeFi u tối hơn nhiều về mặt điều tra pháp y (forensics).

Vì sao mức lỗ tệ hơn gấp 10 lần

Trong một cập nhật đáng ngại hôm qua, đội ngũ Hyperbridge xác nhận rằng giá trị thực sự bị rút cạn (drained) là 2,5 triệu USD. Mặc dù pool Uniswap V4 chính đã hấp thụ phần thiệt hại công khai lớn nhất, các con số được hiệu chỉnh lại tính đến đúng “hiệu ứng lây lan” (contagion) thực sự:

• Tổn thất ở các pool phụ: Kẻ tấn công không chỉ “đánh” một pool. Các giao thức định tuyến tự động và các sàn giao dịch phi tập trung (DEX) thứ cấp đã bị rút cạn một cách có hệ thống nhiều loại tài sản khác nhau (bao gồm DAI, USDC, và EURC) khi DOT được mint được hoán đổi qua nhiều “kho” thanh khoản bị phân mảnh.
• Lợi dụng chênh lệch giá (Arbitrage extraction): Sự kiện mất neo (de-pegging) quy mô lớn của DOT được bắc cầu đã kích hoạt một làn sóng arbitrage độc hại, làm rò rỉ giá trị ra khỏi các vị thế của nhà cung cấp thanh khoản (LP) liên kết với nhau trước khi các hợp đồng có thể bị tạm dừng.

Nhóm đã thừa nhận mức độ nghiêm trọng của lỗ hổng quản trị (governance), và con số 2,5 triệu USD đóng vai trò như một lời nhắc nhở khắc nghiệt rằng các lỗi trong kiến trúc cross-chain hiếm khi gây ra thiệt hại chỉ ở phạm vi riêng lẻ.

Phản ứng thị trường: Biến động giá thời gian thực (17/04/2026)

Đằng sau tiết lộ gây chấn động về khoản lỗ 2,5 triệu USD, thị trường Polkadot bản địa đã cho thấy khả năng bền bỉ đáng kinh ngạc. Bởi vì vụ khai thác nhắm vào phiên bản DOT được bọc bằng Ethereum và không phải mạng cốt lõi Layer-0 của Polkadot, chuỗi bản địa vẫn được bảo mật hoàn toàn.

• Polkadot (DOT): Hiện đang giao dịch ở mức $1.32, DOT tăng mạnh +12.2% trong 24 giờ qua. Nguồn cung lưu hành không bị ảnh hưởng, và vốn hóa thị trường vẫn vững ở mức 2,24 tỷ USD. Các nhà đầu tư đã “mua khi giá giảm” sau đợt bán tháo hoảng loạn ban đầu vào đầu tuần hiện đang có lãi, thực hiện một cú short squeeze kinh điển.
• Ethereum (ETH): ETH đang dao động quanh mức $2,329, giao dịch tương đối đi ngang khi thị trường chung hấp thụ các áp lực vĩ mô và Bitcoin dominance tiếp tục leo thang.

Bức tranh lớn hơn: Cuộc chiến Perpetual của DeFi

Sự cố Hyperbridge đã góp thêm vào một danh sách đáng lo ngại và ngày càng dài các vụ khai thác trong DeFi vào năm 2026. Sau vụ rút cạn 270 triệu USD của Drift Protocol trên Solana vào đầu năm nay, các chuyên gia an ninh đang gióng lên hồi chuông cảnh báo về hạ tầng liên chuỗi.

Chainalysis gần đây lưu ý rằng năm 2025 là năm tồi tệ nhất được ghi nhận đối với các vụ hack crypto, phần lớn do các tác nhân do nhà nước hậu thuẫn và các vụ khai thác cầu nối tinh vi. Khi chúng ta bước vào Q2 năm 2026, vụ hack Hyperbridge cho thấy rằng ngay cả khi một kẻ tấn công vấp chính dây giày của mình trong một bể thanh khoản nông, thì một hợp đồng cầu nối bị xâm phạm vẫn có thể dẫn đến những tổn thất lên tới hàng triệu USD.

Bài học rút ra cho các nhà đầu tư? Hãy luôn phân biệt giữa một tài sản phái sinh được bắc qua cầu và token gốc. Mạng cốt lõi của Polkadot đã không thất bại trong tuần này—a bridge built on top of it did. Cho đến khi quá trình xác thực liên chuỗi đạt được độ vững chắc phi tập trung tương tự như các Layer-1 mà nó kết nối, các tài sản được bọc sẽ tiếp tục mang theo một mức “phụ phí” rủi ro ẩn đáng kể.