Đằng sau sự tiện lợi của tài chính xuyên chuỗi, các lỗ hổng bảo mật âm thầm tồn tại như những quả bom hẹn giờ, liên tục phát nổ theo những kịch bản tương tự và buộc toàn ngành phải tự nhìn lại mình.
Vào ngày 2 tháng 2 năm 2026 (UTC), CrossCurve—giao thức thanh khoản xuyên chuỗi trước đây có tên EYWA và được hậu thuẫn bởi nhà sáng lập Curve Finance, ông Michael Egorov—chính thức xác nhận cầu nối xuyên chuỗi của mình đã bị tấn công do lỗ hổng trong hợp đồng thông minh. Kẻ tấn công đã giả mạo thông điệp xuyên chuỗi, vượt qua bước xác thực cổng quan trọng và kích hoạt việc mở khóa token trái phép, dẫn đến việc bị đánh cắp khoảng 3 triệu đô la Mỹ trên nhiều blockchain khác nhau.
Tổng quan sự cố: Vì sao kiến trúc xác thực đa tầng lại thất bại?
Khoảng ngày 31 tháng 1 năm 2026, công ty an ninh blockchain Defimon Alerts đã phát hiện số dư hợp đồng cốt lõi PortalV2 của CrossCurve giảm mạnh—từ khoảng 3 triệu đô la Mỹ xuống gần như bằng 0. CrossCurve nhanh chóng phát đi thông báo khẩn cấp trên X: "Mạng lưới cầu nối của chúng tôi hiện đang bị tấn công. Kẻ tấn công đã khai thác lỗ hổng trong một hợp đồng thông minh của chúng tôi. Vui lòng tạm dừng mọi tương tác với CrossCurve trong thời gian điều tra."
Trớ trêu thay, CrossCurve từng nhiều lần quảng bá kiến trúc bảo mật xác thực đa tầng "Consensus Bridge" như một điểm mạnh nổi bật. Kiến trúc này tích hợp Axelar, LayerZero và mạng oracle độc quyền EYWA, với mục tiêu loại bỏ điểm thất bại đơn lẻ bằng cách dựa vào nhiều nguồn xác thực độc lập. Dự án từng khẳng định: "Xác suất nhiều giao thức xuyên chuỗi bị hack cùng lúc gần như bằng 0."
Phân tích lỗ hổng: Lỗ hổng xác thực chí mạng
Phân tích bảo mật đã làm rõ bản chất kỹ thuật của vụ tấn công. Gốc rễ của lỗ hổng nằm ở một bước xác thực tưởng chừng đơn giản bị bỏ sót—nhưng đủ để đánh sập toàn bộ hệ thống xác thực đa tầng phức tạp.
Kênh tấn công
Trọng tâm của vụ tấn công nằm ở hợp đồng ReceiverAxelar của CrossCurve. Hợp đồng này có nhiệm vụ nhận thông điệp từ mạng lưới xuyên chuỗi Axelar và thực thi các chỉ thị tương ứng.
Thông thường, mọi thông điệp xuyên chuỗi muốn được thực thi đều phải vượt qua xác thực đồng thuận của mạng Axelar. Tuy nhiên, một lỗ hổng nghiêm trọng tồn tại trong một hàm của hợp đồng này. Kẻ tấn công phát hiện họ có thể gọi trực tiếp hàm này, truyền vào các tham số thông điệp xuyên chuỗi giả mạo mà hợp đồng lại không xác minh đầy đủ nguồn gốc thực sự của thông điệp.
Quy trình tấn công
Sau khi chỉ thị giả mạo được chấp nhận, hợp đồng đã gửi lệnh mở khóa token đến hợp đồng lưu ký tài sản cốt lõi PortalV2.
Do hợp đồng PortalV2 hoàn toàn tin tưởng các chỉ thị từ ReceiverAxelar, nên đã thực hiện việc giải phóng mọi loại tài sản bị khóa về các địa chỉ do kẻ tấn công chỉ định. Quy trình này có thể lặp lại cho đến khi toàn bộ tài sản chính của hợp đồng bị rút cạn.
Lịch sử lặp lại: Bốn năm vết thương bảo mật chưa lành
Sự cố lần này đã khơi dậy cảm giác "đã từng thấy" mạnh mẽ trong cộng đồng an ninh tiền mã hóa. Chuyên gia bảo mật Taylor Monahan bày tỏ sự kinh ngạc: "Tôi thực sự không thể tin được bốn năm đã trôi qua mà chẳng có gì thay đổi." Bà nhắc đến vụ tấn công cầu nối xuyên chuỗi Nomad vào tháng 8 năm 2022, từng gây chấn động toàn ngành. Khi đó, Nomad đã mất khoảng 190 triệu đô la Mỹ cũng vì một lỗ hổng xác thực khởi tạo tương tự. Đáng chú ý hơn, cách khai thác quá đơn giản khiến sau khi sự cố nổ ra, nó đã biến thành một "cuộc tranh cướp tiền công khai", với hơn 300 địa chỉ sao chép phương thức tấn công để trục lợi.
Từ Nomad đến CrossCurve, phương thức tấn công về bản chất đều giống nhau: đều bắt nguồn từ việc xác thực không đầy đủ yếu tố bảo mật cơ bản nhất—nguồn gốc thông điệp xuyên chuỗi. Việc các sự cố như vậy liên tục tái diễn cho thấy rõ ràng rằng, dù ngành phát triển nhanh chóng, một số nguyên tắc phát triển bảo mật hợp đồng thông minh và tiêu chuẩn kiểm toán căn bản vẫn chưa được thực thi nghiêm túc.
Hiệu ứng lan tỏa trên thị trường: Khủng hoảng niềm tin và biến động giá
Vụ lỗ hổng bảo mật đã nhanh chóng tạo ra hiệu ứng dây chuyền trên thị trường. CrossCurve, giao thức bị tấn công, có mối liên hệ chặt chẽ với giao thức DeFi hàng đầu Curve Finance; khoản đầu tư từ nhà sáng lập Curve từng là một bảo chứng lớn về uy tín cho CrossCurve.
Sau sự cố, Curve Finance lập tức phát đi thông báo trên X, khuyến nghị người dùng "xem xét lại vị thế và cân nhắc thu hồi các phiếu bầu này", đồng thời nhấn mạnh cần thận trọng khi tương tác với "các dự án bên thứ ba". Tuyên bố được cân nhắc kỹ lưỡng này được giới quan sát đánh giá là động thái nhanh chóng nhằm giữ khoảng cách và bảo vệ danh tiếng của chính mình khỏi tác động dây chuyền.
Phản ứng thị trường chính thống
Theo dữ liệu thị trường Gate, tính đến ngày 2 tháng 2 năm 2026, giá Bitcoin (BTC) đã thay đổi -2,51% trong 24 giờ qua, giao dịch ở mức 76.814 đô la Mỹ.
Trong cùng khoảng thời gian, giá Ethereum (ETH) giảm -7,42%, xuống còn 2.271,18 đô la Mỹ. Dù biến động thị trường chịu tác động từ nhiều yếu tố, nhưng một sự cố bảo mật nghiêm trọng ở một giao thức DeFi cốt lõi chắc chắn đã làm gia tăng tâm lý né tránh rủi ro trên toàn thị trường.
Góc nhìn ngành: Nghịch lý bảo mật cầu nối xuyên chuỗi
Sự cố CrossCurve một lần nữa đưa nhận định chung của ngành—"cầu nối xuyên chuỗi là mắt xích yếu nhất của tiền mã hóa"—lên vị trí trung tâm. Các vụ trước như Ronin (mất 625 triệu đô la Mỹ), Wormhole (mất 325 triệu đô la Mỹ), và nay là CrossCurve đều củng cố quan điểm này.
Nghịch lý bảo mật của cầu nối xuyên chuỗi nằm ở chỗ chúng cần cho phép tài sản di chuyển tự do giữa các blockchain khác nhau, đòi hỏi các trung tâm xác thực và tin cậy trên nhiều chuỗi độc lập với mô hình bảo mật đa dạng. Nếu trung tâm này (hợp đồng thông minh) tồn tại lỗi logic, nó sẽ trở thành điểm thất bại đơn lẻ cho toàn bộ dòng thanh khoản. Ngay cả khi có xác thực đa tầng từ bên ngoài như thiết kế của CrossCurve, các sai sót trong khâu triển khai hợp đồng cũng có thể khiến mọi lớp bảo vệ bên ngoài trở nên vô nghĩa.
Diễn biến mới nhất và phản ứng của người dùng
Đối mặt với dòng tiền tiếp tục bị rút và áp lực dư luận ngày càng tăng, đội ngũ CrossCurve đã triển khai các biện pháp xử lý khủng hoảng sau khi sự cố bị phanh phui. Theo thông báo chính thức mới nhất, đội ngũ đã đặt ra hạn chót 72 giờ để hoàn trả số tiền bị đánh cắp. Họ kêu gọi chủ sở hữu các địa chỉ liên quan hợp tác trả lại tài sản bị chiếm dụng và, theo "Chính sách tiết lộ an toàn", đề xuất thưởng tối đa 10% tổng số tiền cho các hacker mũ trắng.
Nếu không đạt được thỏa thuận trong thời gian quy định, đội ngũ cho biết sẽ nâng cấp biện pháp phản ứng, bao gồm khởi kiện pháp lý và phối hợp với các sàn giao dịch, tổ chức phát hành stablecoin cùng các bên liên quan để truy vết, đóng băng tài sản liên quan.
Giá Bitcoin đã giảm 2,51% trong 24 giờ sau sự cố, trong khi Ethereum còn giảm sâu hơn, tới 7,42%. Thị trường đã phản ứng với cú sốc niềm tin do một lỗi mã gây ra bằng những con số lạnh lùng.
Đồng hồ đếm ngược "an toàn" 72 giờ do đội ngũ CrossCurve đặt ra đang dần cạn. Dữ liệu trên blockchain cho thấy số tiền bị đánh cắp vẫn đang nằm yên tại địa chỉ của kẻ tấn công, chưa có dấu hiệu chuyển dịch quy mô lớn. Liệu cơn bão—bắt nguồn chỉ từ một dòng mã xác thực bị thiếu—sẽ kết thúc bằng một thỏa thuận với hacker mũ trắng, hay sẽ kéo dài thành một cuộc chiến thu hồi tài sản xuyên biên giới, vẫn còn là ẩn số.
