Một lỗ hổng bảo mật nghiêm trọng trong giao thức Hyperbridge vừa bị khai thác, cho phép hacker tạo ra 1 tỷ token Polkadot (DOT) giả trên mạng lưới Ethereum. Dù con số token bị đúc khống rất lớn, nhưng một rào cản bất ngờ đã ngăn chặn một thảm họa tài chính quy mô lớn hơn.
Nội dung bài viết
Phương thức tấn công: Giả mạo tin nhắn quản trị
Theo báo cáo từ công ty bảo mật CertiK vào tháng 4/2026, kẻ tấn công đã phát hiện ra điểm yếu trong hợp đồng thông minh của cổng Hyperbridge trên Ethereum.
We have seen an exploit on the @hyperbridge gateway contract. https://t.co/h27iDm1JGd
The attacker slipped through a forged message to change the admin of Polkadot token contract on Ethereum and profited ~$237K from minting and selling 1B tokens.
Stay… pic.twitter.com/3t2n4uq5hy
— CertiK Alert (@CertiKAlert) April 13, 2026
Nhóm hacker đã thực hiện các bước tinh vi sau:
-
Giả mạo tin nhắn: Hacker gửi một thông điệp giả mạo đến hợp đồng để chiếm quyền quản trị cao nhất .
-
Chiếm quyền đúc token: Với quyền quản trị này, hacker đã can thiệp vào cài đặt của hợp đồng token DOT (dạng bridged) trên Ethereum, tự cấp cho mình quyền đúc token không giới hạn.
-
Đúc khống 1 tỷ DOT: Chỉ trong một giao dịch duy nhất, 1 tỷ token DOT giả đã được tạo ra trên mạng Ethereum.
Thanh khoản thấp – “Cái bẫy” ngược cho hacker
Dữ liệu on-chain từ Lookonchain cho thấy ngay sau khi đúc token, hacker đã lập tức đem toàn bộ 1 tỷ DOT này đi thanh lý trên các sàn giao dịch phi tập trung.
Tuy nhiên, một nghịch lý đã xảy ra: Dù sở hữu 1 tỷ token, nhưng hacker chỉ thu về được 108,2 ETH (tương đương khoảng 237.000 USD tại thời điểm đó).
Nguyên nhân nằm ở thanh khoản cực mỏng của biến thể DOT trên Ethereum. Vì đây là tài sản dạng tổng hợp với lượng người nắm giữ và khối lượng giao dịch thấp, thị trường không có đủ độ sâu để hấp thụ một lượng bán khổng lồ như vậy. Giá của token giả này đã trượt dốc không phanh ngay khi lệnh bán được thực thi, khiến lợi nhuận của hacker bị giới hạn đáng kể so với con số 1 tỷ token trên lý thuyết.
Polkadot vẫn an toàn
Điều quan trọng cần lưu ý là vụ tấn công này chỉ ảnh hưởng đến phiên bản DOT được bridged sang Ethereum. Các Relay Chain của Polkadot hoàn toàn không bị xâm phạm. Token DOT gốc đang lưu hành trong hệ sinh thái Polkadot vẫn an toàn tuyệt đối.
Sự cố này một lần nữa khẳng định rủi ro không nằm ở tài sản gốc mà nằm ở kiến trúc bảo mật của các cầu nối cross-chain – “tử huyệt” của các hệ sinh thái multichain.
Vụ khai thác Hyperbridge là lời nhắc nhở về tầm quan trọng của việc audit nghiêm ngặt các logic đúc token và quyền quản trị trong hạ tầng cross-chain. Dù thiệt hại về tiền mặt lần này thấp hơn nhiều so với các vụ hack cầu nối hàng trăm triệu USD trước đây, nhưng nó đã làm xói mòn niềm tin vào chiến lược multichain của các dự án.
Quang Ngo là một tech content creator với nền tảng về Data Science và AI. Bắt đầu tìm hiểu về công nghệ blockchain và tiền điện tử từ 2022, hiện Quang Ngo nghiên cứu về một số ứng dụng của blockchain trong mảng dữ liệu tài chính và mua sắm, đồng thời đảm nhận biên soạn các bài viết chia sẻ kiến thức về các kỹ thuật và công nghệ trong blockchain, cũng như cập nhật các thông tin HOT trên thị trường dưới góc nhìn của một người am hiểu về tiền điện tử và blockchain
