DeFi · ✦ AI tổng hợp
Cầu nối Alephium mất $815K do tin nhắn guardian giả mạo, không phải do đánh cắp khóa
Alephium, blockchain Layer 1 sử dụng cơ chế proof-of-work, đã ghi nhận khoản tổn thất khoảng 815.000 USD trên Ethereum và BNB Chain vào ngày thứ Sáu. Kẻ tấn công đã đẩy các thông điệp giả mạo qua backend của cầu nối và biến chúng thành các giao dịch hợp lệ trên blockchain đích.
Theo thông tin từ đội ngũ dự án, Alephium – blockchain Layer 1 sử dụng cơ chế proof-of-work và vận hành một bản fork riêng của giao thức cầu nối Wormhole – đã chịu khoản tổn thất khoảng 815.000 USD vào ngày thứ Sáu (theo giờ Việt Nam), tác động đến tài sản trên cả Ethereum và BNB Chain.
Thủ đoạn tấn công: Giả mạo thông điệp guardian
Điểm đáng chú ý của vụ việc này là kẻ tấn công không trực tiếp đánh cắp khóa riêng tư (private keys) của hệ thống. Thay vào đó, chúng khai thác lỗ hổng tại backend của cầu nối cross-chain để đẩy các thông điệp guardian giả mạo qua. Sau khi đi qua cầu nối, những thông điệp này được xử lý như các giao dịch hợp lệ tại đầu nhận, dẫn đến việc tài sản bị rút một cách bất hợp pháp.
Nói cách khác, kẻ tấn công lợi dụng cách thức cầu nối xác minh thông điệp từ đầu gửi sang đầu nhận – tạo ra các lệnh rút tiền trông có vẻ hợp lệ mà không cần kiểm soát trực tiếp khóa ví.
Cầu nối chain chéo: Mắt xích dễ bị tổn thương
Sự cố của Alephium một lần nữa cho thấy mức độ rủi ro của các giao thức cầu nối chain chéo (cross-chain bridge) trong hệ sinh thái DeFi. Trong lịch sử DeFi, nhiều vụ tấn công lớn nhất đều nhắm vào các cầu nối – nơi tập trung thanh khoản lớn và là điểm giao điểm của nhiều blockchain khác nhau.
Mô hình hoạt động của Alephium dựa trên một bản fork riêng của Wormhole – giao thức từng gánh chịu vụ tấn công trị giá hơn 320 triệu USD vào năm 2022. Việc fork mã nguồn mà không có đánh giá bảo mật đầy đủ có thể tạo ra các lỗ hổng không được phát hiện.
Phản ứng từ đội ngũ dự án
Tại thời điểm công bố, đội ngũ Alephium cho biết đang phối hợp với các đơn vị bảo mật blockchain để điều tra vụ việc và theo dõi dòng tiền. Một số nguồn tin cho rằng đội ngũ đã tạm ngừng hoạt động của cầu nối để ngăn chặn thiệt hại thêm.
Người dùng được khuyến nghị hết sức cẩn trọng khi tương tác với các giao thức cross-chain trong thời gian chờ thêm thông tin chi tiết từ đội ngũ dự án.
Bối cảnh thị trường
Alephium ($ALPH) là dự án Layer 1 sử dụng cơ chế đồng thuận proof-of-work, được thiết kế với kiến trúc sharding để cải thiện khả năng mở rộng. Vụ tấn công này diễn ra trong bối cảnh thị trường tiền mã hóa đang chứng kiến sự gia tăng các vụ hack nhắm vào các giao thức DeFi, đặc biệt là các cầu nối chain chéo – vẫn được coi là điểm yếu bảo mật lớn nhất của hệ sinh thái.
/ Bài viết liên quan
Vitalik Buterin đề xuất xây dựng DeFi trên nền tảng hợp đồng quyền chọn thay vì nợ có thế chấp
Đồng sáng lập Ethereum Vitalik Buterin vừa đề xuất một hướng đi mới cho tài chính phi tập trung (DeFi), thay thế mô hình nợ có thế chấp bằng hợp đồng quyền chọn. Cách tiếp cận này nhằm loại bỏ việc thanh lý bắt buộc và cho phép tài sản tổng hợp vận hành trên các oracle tốc độ chậm, mang phong cách thị trường dự đoán thay vì phải dựa vào nguồn cấp giá theo thời gian thực.
Tranh chấp 60 triệu USD trên Polymarket về việc bán Bitcoin của Strategy đẩy oracle bỏ phiếu token UMA vào thử thách
Hợp đồng Polymarket thu hút hơn 60 triệu USD khối lượng giao dịch đang nằm trong hàng đợi của oracle tối ưu hóa UMA, sau khi hai đề xuất phân xử 'Không' cho câu hỏi 'Strategy có bán Bitcoin trước ngày 31/5/2026?' bị phản đối. Tranh chấp buộc phải chuyển sang cơ chế bỏ phiếu trọng số token, đặt ra câu hỏi về độ tin cậy của hệ thống oracle này.
Từ biệt thanh lý tức thì: Vitalik đề xuất mô hình DeFi dựa trên quyền chọn
Vitalik Buterin, đồng sáng lập Ethereum, vừa đưa ra đề xuất cải tổ căn bản kiến trúc tài chính phi tập trung (DeFi), nhằm xóa bỏ hiện tượng thanh lý tức thì (flash liquidation) gây thiệt hại lớn cho người dùng. Đề xuất hướng tới việc tích hợp cơ chế quyền chọn (options) làm lớp bảo vệ thay thế cho mô hình thanh lý truyền thống.
Pavel Durov đổi tên token gốc của TON từ Toncoin sang Gram, giá tăng tới 19%
Nhà sáng lập Telegram Pavel Durov thông báo trong tuần này rằng đồng tiền mã hóa gốc của The Open Network (TON) sẽ được đổi tên từ Toncoin sang Gram trong vòng ba tuần tới. Động thái này khôi phục lại tên gọi từ whitepaper năm 2018 mà SEC từng ngăn chặn. Sau thông báo, giá token đã tăng tới 19%.