Các cầu nối chuỗi chéo (cross-chain bridges) – cơ sở hạ tầng cho phép chuyển giao tài sản giữa các mạng blockchain riêng biệt – đã bị hacker đánh cắp tổng cộng 328,6 triệu USD qua tám vụ tấn công riêng biệt trong tháng 5 năm 2026.
Các vụ tấn công khai thác lỗ hổng trên các cầu tiền điện tử đạt mức 328,6 triệu USD trong tháng 5, theo thống kê của Peckshield về 8 vụ việc lớn
TÁC GIẢ
CHIA SẺ
Điểm chính
Năm tồi tệ nhất của tiền điện tử về các vụ tấn công xuyên chuỗi
Công ty phân tích dữ liệu và bảo mật blockchain Peckshield đã công bố vào giữa tháng 5 danh sách tám vụ khai thác liên quan đến cầu nối, khiến các giao thức chuỗi chéo bị rút cạn tổng cộng 328,6 triệu USD trong năm nay. Con số này càng làm trầm trọng thêm giai đoạn tồi tệ nhất từ trước đến nay đối với tài chính phi tập trung (DeFi), đồng thời phơi bày lỗ hổng hệ thống mà ngành công nghiệp này vẫn chưa giải quyết triệt để.
Các cầu nối chuỗi chéo hoạt động bằng cách khóa token trên một blockchain và đúc tài sản tương đương trên blockchain khác, tạo ra các bề mặt tấn công có giá trị cao, nơi kẻ tấn công chỉ cần xâm nhập vào cơ chế xác minh của cầu nối để truy cập vào thanh khoản chung. Rủi ro cấu trúc này trở nên không thể phủ nhận vào tháng 4 năm 2026, khi đây là tháng bị tấn công nhiều nhất trong lịch sử tiền điện tử
, với 30 vụ việc riêng biệt, tương đương gần một vụ tấn công mỗi ngày.Hai vụ tấn công lớn nhất diễn ra liên tiếp trong tháng đó. Đường dẫn Layerzero V2 rsETH của KelpDAO đã bị khai thác với số tiền khoảng $300 triệu vào ngày 18 tháng 4, khi kẻ tấn công rút 116.500 rsETH từ bộ điều hợp OFT của Ethereum mà không đốt token trên chuỗi nguồn. Một báo cáo của Chainalysis cho thấy Layerzero đã thiết lập mức quorum RPC mặc định thấp là 1-1, nghĩa là chỉ cần một nút bị nhiễm độc cũng có thể ủy quyền cho các tin nhắn xuyên chuỗi gian lận. KelpDAO sau đó đã chuyển sang tiêu chuẩn Cross-Chain Token của Chainlink, công khai đổ lỗi cho Layerzero về sự cố hạ tầng.
Vài ngày sau, Drift Protocol đã phải hứng chịu một vụ khai thác trị giá hơn 200 triệu đô la trên cơ sở hạ tầng dựa trên Solana của mình. Một nhà phân tích của CertiK lưu ý rằng các sự cố này phản ánh một sự thay đổi mang tính rủi ro cao trong chiến lược tội phạm mạng xuyên chuỗi, với việc những kẻ tấn công ngày càng tinh vi hơn trong cách xác định và khai thác các lỗ hổng xác minh cầu nối.
Chết vì vạn vết cắt
Các vụ việc nhỏ hơn đã liên tiếp xảy ra trong những tháng trước đó và thậm chí sau đó, với cầu nối của IoTeX bị tấn công mất khoảng $2 triệu vào tháng 2 thông qua lỗ hổng khóa riêng tư. Sau đó, TAC Protocol mất $2,8 triệu vào đầu tháng 5, vụ việc sau đó được phân loại là sự cố "white hat" sau khi hacker yêu cầu phần thưởng 10%.
Transit Finance, một giao thức tổng hợp chuỗi chéo, đã bị rút cạn $1,88 triệu vào ngày 13 tháng 5 và gần đây nhất, cầu Verus-Ethereum đã mất khoảng $11,5 triệu, với ví của kẻ tấn công được truy vết đến một hạt giống Tornado Cash.
Dữ liệu của Peckshield đã cho thấy tổng thiệt hại do hack đạt 112,5 triệu đô la chỉ trong hai tháng đầu năm 2026 trước khi đợt tăng đột biến vào tháng 4 đẩy tổng thiệt hại lên hơn 750 triệu đô la vào giữa tháng 4. Với các sự cố trong tháng 5 làm tăng con số này, năm 2026 đang trên đà vượt qua các kỷ lục trước đó về thiệt hại DeFi.
