Tóm tắt nhanh
- Vụ exploit của Hyperbridge nghiêm trọng hơn khoảng 10 lần so với ước tính ban đầu, với thiệt hại hiện khoảng $2.5 triệu.
- Giao thức trước đó báo cáo chỉ khoảng $237,000 bị khai thác.
- Phần lớn tài sản bị đánh cắp đã được truy vết, và đội ngũ đang phối hợp với cơ quan chức năng để đóng băng và thu hồi.
Vụ exploit dẫn đến việc mint 1 tỷ token wrapped Polkadot đầu tuần này thực tế nghiêm trọng hơn nhiều so với báo cáo ban đầu, theo đội ngũ đứng sau Hyperbridge.
Những gì ban đầu được cho là chỉ gây thiệt hại $237,000 liên quan đến bridge giữa Polkadot và Ethereum thực chất đã lên tới gần $2.5 triệu—tăng hơn 10 lần so với ước tính ban đầu.
“Attacker đã khai thác một lỗ hổng trong logic xác minh proof Merkle Mountain Range (MMR), cho phép đối tượng mint tài sản và rút cạn các tài sản bị khóa trong escrow trên Token Gateway,” đội ngũ cho biết trong báo cáo postmortem vào thứ Năm.
Kẻ tấn công đã rút khoảng 245 Ethereum từ một hợp đồng TokenGateway liên quan.
Khoảng một giờ sau, một thông điệp cross-chain giả mạo đã vượt qua cơ chế xác minh MMR proof, cho phép attacker mint 1 tỷ token DOT được bridge từ Polkadot và xả chúng vào thị trường thanh khoản mỏng.
— Hyperbridge (@hyperbridge) April 16, 2026
“Ước tính ban đầu mà chúng tôi công bố về thiệt hại thực tế là khoảng $237,000, dựa trên lượng DOT bridge bị bán ra có thể quan sát ngay trên Ethereum,” đội ngũ cho biết. “Con số đó không phản ánh đầy đủ toàn bộ sự việc, như chúng tôi đã phát hiện sau đó.”
Ngoài khoản lỗ $237,000 có thể quan sát, một smart contract đã bị exploit để rút 245 ETH (khoảng $561,000) chỉ vài giờ trước khi diễn ra việc mint token DOT độc hại. Bên cạnh đó, ba blockchain liên quan gồm Base, Arbitrum và BNB Chain cũng bị ảnh hưởng, trái ngược với báo cáo ban đầu rằng chỉ wrapped DOT trên Ethereum bị tác động.
“Sau khi đối soát hoạt động của attacker trên cả bốn chain, bản chất hai giai đoạn của cuộc tấn công và các khoản lỗ từ các incentive pool liên quan, tổng thiệt hại thực tế được điều chỉnh lên khoảng $2.5 triệu, tính theo ETH và Polkadot tại thời điểm exploit,” đội ngũ cho biết.
Số tài sản bị đánh cắp đã được truy vết đến một địa chỉ nạp tiền trên Binance, và dự án đã làm việc với đội ngũ compliance của sàn cùng cơ quan thực thi pháp luật để đóng băng và thu hồi tài sản—tuy nhiên không kỳ vọng có kết quả sớm.
“Chúng tôi đang tận dụng mọi kênh có thể, nhưng thời gian thực tế để thu hồi trong các trường hợp như vậy thường kéo dài nhiều tháng, thậm chí có thể lên tới một năm,” đội ngũ cho biết thêm.
Dù mục tiêu là hoàn trả đầy đủ cho người dùng bị ảnh hưởng, giao thức cho biết họ “cam kết phân bổ token BRIDGE theo cấu trúc để bù đắp phần thiệt hại còn lại” nếu không thể thu hồi tài sản.
Tuy nhiên, token BRIDGE—native token của giao thức—có thanh khoản rất thấp, với khối lượng giao dịch chỉ khoảng $1,800 trong 24 giờ khi được giao dịch quanh mức $0.006 vào ngày 29/3, theo dữ liệu từ CoinGecko. Ở mức giá này, vốn hóa thị trường của token chỉ khoảng $858,000, tương đương khoảng 1/3 tổng thiệt hại từ vụ exploit.
Chức năng bridge trên cả bốn blockchain hiện vẫn đang bị tạm dừng và chỉ được khôi phục sau khi bản vá được triển khai và audit hoàn tất.
“Điều này không làm thay đổi niềm tin của chúng tôi rằng khả năng tương tác cross-chain chỉ an toàn khi dựa trên các bằng chứng mật mã,” đội ngũ dự án viết.
“Điều mà vụ exploit này đã chỉ ra—với chi phí đắt giá—là logic xác minh cần được audit thường xuyên hơn và kiểm thử đối kháng ở mọi tầng trong hệ thống,” họ nhấn mạnh. “Đó sẽ là tiêu chuẩn mà Token Gateway áp dụng trong thời gian tới.”
Bản tin hàng ngày
Bắt đầu mỗi ngày với những tin tức nổi bật nhất, cùng nội dung độc quyền, podcast, video và nhiều hơn nữa.
