Giao thức liên chuỗi Gravity Bridge đã bị đánh cắp khoảng 5,4 triệu USD vào ngày 30 tháng 5, với thông tin cho biết kẻ tấn công đã chuyển một phần số tiền đánh cắp qua Binance và Changenow, theo báo cáo của công ty an ninh blockchain Peckshield.
Cầu Gravity bị rút cạn 5,4 triệu USD khi hacker chuyển số tiền đánh cắp qua Binance
TÁC GIẢ
CHIA SẺ
Điểm chính
Tiền được chuyển qua Binance và ChangeNow
Gravity Bridge, một giao thức chuyển token giữa Ethereum và hệ sinh thái Cosmos, đã mất khoảng 5,4 triệu đô la trong một vụ khai thác mới được công ty bảo mật blockchain Peckshield phát hiện. Các tài sản bị đánh cắp bao gồm khoảng $4,3 triệu USD Coin (USDC), 274 ether (ETH) trị giá khoảng $553.000, $434.000 Tether (USDT) và 14.164 token PAYG có giá trị gần $64.000.
Kẻ tấn công đã nhanh chóng chuyển số tiền thu được. Theo đánh giá của Peckshield, một phần số tiền này đã được rửa qua Changenow, một dịch vụ trao đổi không lưu ký, và Binance, sàn giao dịch tiền điện tử lớn nhất thế giới về khối lượng giao dịch. Tính đến thời điểm cảnh báo, kẻ tấn công vẫn đang nắm giữ khoảng 2.102 ETH trị giá khoảng $4,23 triệu, cho thấy phần lớn giá trị bị đánh cắp vẫn còn trên chuỗi và có thể được truy vết.
Việc chuyển tiền qua một sàn giao dịch tập trung như Binance có thể làm mất dấu vết bằng cách trộn lẫn các đồng tiền bị đánh cắp với thanh khoản hợp pháp, nhưng nó cũng khiến số tiền này có nguy cơ bị đóng băng nếu đội ngũ tuân thủ của nền tảng hành động nhanh chóng. Các dịch vụ trao đổi như ChangeNow thường được sử dụng để chuyển đổi tài sản thành các token khó theo dõi hơn trước khi chúng đến sàn giao dịch.
Gravity Bridge làm gì
Gravity Bridge là một cầu nối chuỗi chéo (phần mềm cho phép người dùng chuyển token từ blockchain này sang blockchain khác), kết nối Ethereum với mạng lưới Cosmos gồm các chuỗi tương tác. Được xây dựng trên Cosmos SDK, nó hoạt động theo mô hình khóa và đúc. Ở đây, một token được khóa trên một chuỗi và một đại diện tương đương được đúc trên chuỗi kia, sau đó được đốt và chuộc lại khi người dùng chuyển ngược lại.
Thay vì dựa vào một ví đa chữ ký nhỏ hoặc một nhóm nhà điều hành được cấp phép, Gravity Bridge sử dụng bộ xác thực của mình để ký các giao dịch xuyên chuỗi, một thiết kế nhằm làm cho nó trở nên phi tập trung hơn và khó bị xâm phạm hơn. Kiến trúc đó không khiến các cầu nối miễn nhiễm với các cuộc tấn công bởi vì, theo thiết kế, chúng nắm giữ các nhóm tài sản bị khóa lớn, biến chúng thành một số mục tiêu sinh lợi nhất trong tài chính phi tập trung (DeFi). Một lỗ hổng duy nhất trong logic xác thực của chúng có thể mở khóa tất cả cùng một lúc.
Một năm tàn khốc đối với các cầu nối chuỗi chéo
Vụ việc Gravity Bridge xảy ra giữa một giai đoạn đầy khó khăn đối với cơ sở hạ tầng chuỗi chéo, khi Bitcoin.com News gần đây báo cáo rằng các vụ khai thác cầu đã làm thất thoát hơn 328 triệu đô la trong tám vụ việc riêng biệt chỉ tính đến giữa tháng 5 năm 2026.
Mô hình này đã diễn ra không ngừng nghỉ trong suốt cả năm. Vào ngày 18 tháng 5, những kẻ tấn công đã rút khoảng 11,5 triệu đô la từ cầu nối Verus-Ethereum, với thủ phạm được tài trợ thông qua Tornado Cash trước khi thực hiện hành vi trộm cắp. Sau đó, vào tháng 4, một vụ tấn công nghi ngờ đã rút khoảng $200 triệu trở lên khỏi Drift Protocol, trong khi một vụ vi phạm riêng biệt đã rút 116.500 rsETH từ bộ điều hợp Layerzero
của KelpDAO, khiến thị trường cho vay đối mặt với rủi ro nợ xấu tiềm ẩn.Các vụ tấn công nhỏ hơn cũng đã tích tụ, bao gồm một vụ tấn công flash-loan trị giá $2,4 triệu trên cầu Shibarium. Trong tất cả những điều này, sự lặp lại cho thấy một vấn đề cấu trúc hơn là một chuỗi xui xẻo. Các cầu cần phải hòa giải các mô hình bảo mật khác nhau của hai chuỗi, và mã nguồn xác minh các giao dịch gửi và rút đã nhiều lần chứng minh là khâu yếu nhất (cho dù là do thiếu các kiểm tra xác thực, khóa bị xâm phạm hay các lỗ hổng trong quản trị).
Dự đoán các bước tiếp theo
Câu hỏi cấp bách hiện nay là bao nhiêu trong số $5,4 triệu bị đánh cắp có thể được thu hồi. Với kẻ tấn công vẫn đang nắm giữ khoảng $4,23 triệu ETH, các sàn giao dịch và công ty phân tích có cơ hội để đánh dấu và đóng băng số tiền này, trong khi các giao thức ngày càng sử dụng áp lực công khai và tin nhắn trên chuỗi để đàm phán việc hoàn trả. Ví dụ, hacker Verus cuối cùng đã trả lại $8,5 triệu trong khi giữ lại $2,8 triệu tiền thưởng theo thỏa thuận thu hồi.
Hiện tại, người dùng Gravity Bridge sẽ chờ đợi báo cáo chính thức về sự cố, trong đó nêu rõ nguyên nhân gốc rễ và bất kỳ kế hoạch nào để bồi thường cho những người gửi tiền bị ảnh hưởng. Cho đến khi các cầu nối giải quyết được những lỗ hổng xác thực liên tục xuất hiện, những kết nối quan trọng nhất của nền kinh tế đa chuỗi có thể sẽ vẫn là những mục tiêu bị cướp bóc thường xuyên nhất.
