Thị trường nguội lạnh, nhưng hacker không ngừng nghỉ: Tại sao cầu nối cross-chain luôn bị nhắm đến?

Có vẻ như trên chuỗi chưa bao giờ yên ắng đến thế, ngoại trừ các hacker.

Nếu nhìn vào thống kê "Cơ sở dữ liệu các vụ tấn công" của SlowMist, sẽ thấy rằng mặc dù thị trường hiện tại đang giảm nhiệt và hoạt động trên chuỗi có phần chững lại, nhưng các hacker vẫn "chăm chỉ" thực hiện các cuộc tấn công vào thế giới Web3. Trong số đó, cầu nối cross-chain, giao thức DeFi, ủy quyền ví, quản lý khóa riêng tư và tấn công phishing vẫn là những mục tiêu phổ biến nhất của hacker.

Theo thống kê phân loại liên quan của "Cơ sở dữ liệu các vụ tấn công" từ SlowMist, kể từ năm 2026, các sự cố bảo mật Web3 đã gây ra tổng thiệt hại hơn 900 triệu đô la Mỹ, trong đó có hơn 16 sự cố liên quan đến cầu nối cross-chain, gây thiệt hại khoảng 330 triệu đô la Mỹ. Chỉ lấy các sự kiện gần đây làm ví dụ:

Gravity Bridge bị tấn công nghi ngờ do vấn đề liên quan đến khóa hợp đồng hoặc ủy quyền chữ ký, tài sản trị giá khoảng 5,4 triệu đô la Mỹ bị đánh cắp; Cầu nối Ethereum của Alephium TokenBridge cũng bị khai thác lỗ hổng, đánh cắp khoảng 815.000 đô la Mỹ tài sản trong thời gian ngắn và tạo ra một lượng lớn Wrapped ALPH không được bảo chứng.

Những sự kiện này không hoàn toàn giống với "ví bị hack" mà người dùng thường nghe nhất. Nhiều khi, cụm từ khôi phục (seed phrase) của người dùng thực ra không bị lộ, ví cũng không tự ý ký các giao dịch độc hại, nhưng nếu cơ chế xác thực, quyền ký hoặc cơ sở hạ tầng vận hành của cầu nối cross-chain gặp vấn đề, tài sản trên cầu vẫn có thể bị ảnh hưởng.

Đây cũng là điều dễ bị bỏ qua nhất về rủi ro của cầu nối cross-chain.

I. Tại sao cầu nối cross-chain luôn là mục tiêu tấn công?

Nhiều người dùng lần đầu sử dụng cầu nối cross-chain thường hiểu nôm na rằng tôi đang chuyển tài sản từ chuỗi A sang chuỗi B.

Nhưng chính xác hơn, việc chuyển tài sản cross-chain thường không phải là tài sản thực sự được "di chuyển" từ chuỗi này sang chuỗi khác, mà là thông qua một cơ chế cầu nối để hoàn thành việc khóa và đúc lại tài sản được ánh xạ. Nói một cách đơn giản, vai trò thực sự của cầu nối cross-chain không chỉ là "kênh kết nối", mà giống như một hệ thống xác thực và ghi chép tài sản giữa hai chuỗi.

Vấn đề nằm ở chỗ này.

Điều này có nghĩa là nếu khóa ký của cầu nối bị rò rỉ, kẻ tấn công có thể giả mạo ủy quyền hợp pháp; nếu số lượng Người giám sát (Guardian) quá ít hoặc cơ chế xác thực bị vượt qua, các thông điệp cross-chain độc hại có thể được thực thi như thể chúng là thật; nếu thiết kế quyền hợp đồng không hợp lý, kẻ tấn công có thể vượt qua quy trình thông thường để đánh cắp tài sản bị khóa, hoặc đúc tài sản ánh xạ không có tài sản thực tế hậu thuẫn trên chuỗi đích.

Người dùng chỉ thấy một cú nhấp chuột, nhưng đằng sau đó liên quan đến quyền hợp đồng, cơ chế ký, xác thực thông điệp, lưu ký tài sản, dịch vụ ngoài chuỗi và hệ thống giám sát, v.v. Bất kỳ lớp nào gặp vấn đề cũng có thể khiến tài sản tiếp xúc với rủi ro. Nói thẳng ra, sở dĩ cầu nối cross-chain dễ trở thành mục tiêu tấn công không phải vì bản thân nhu cầu "cross-chain" có vấn đề, mà vì nó tập trung một cách tự nhiên ba loại quyền hạn có giá trị cao:

• Thứ nhất, cầu nối cross-chain thường nắm giữ một lượng lớn tài sản bị khóa. Đằng sau nhiều tài sản được bridge, đều có tài sản thật đã bị khóa trên chuỗi nguồn. Nếu hợp đồng cầu nối tích lũy một lượng lớn USDC, USDT, ETH hoặc các tài sản có tính thanh khoản cao khác, nó đương nhiên sẽ trở thành mục tiêu nhắm đến của kẻ tấn công;
• Thứ hai, cầu nối cross-chain phải giải quyết vấn đề "điều gì đã xảy ra trên chuỗi khác". Bởi vì blockchain tự nó không thể đọc trạng thái của một chuỗi khác, nên cầu nối cross-chain phải dựa vào một số cơ chế xác thực, chẳng hạn như chữ ký của người xác thực hoặc các hệ thống chuyển tiếp khác. Các cơ chế này càng phức tạp, bề mặt tấn công càng lớn;
• Cuối cùng, người dùng thông thường khó có thể đánh giá trực tiếp trạng thái bảo mật thực sự của một cầu nối. Một trang cross-chain có thể mở không có nghĩa là cầu nối đó đang ở trạng thái an toàn. Người ký của cầu nối có an toàn không, quyền hạn hợp đồng có hợp lý không, dịch vụ phụ trợ có bị tấn công không, người dùng rất khó nhận ra trực tiếp từ giao diện người dùng;

Sự cố bảo mật Kelp DAO xảy ra gần đây đã đẩy các cuộc thảo luận liên quan lên đỉnh điểm. Các bài phân tích công khai cho thấy, những sự cố như vậy không nhất thiết xuất phát từ lỗ hổng mã của chính hợp đồng thông minh, mà có thể đến từ cấu hình xác thực cross-chain, cơ sở hạ tầng ngoài chuỗi hoặc các khâu vận hành bảo mật.

Nói cách khác, cái gọi là "tương tác" giữa nhiều L1, L2 và ứng dụng đa chuỗi ngày nay, về bản chất vẫn dựa vào một loạt các cơ chế chuyển tiếp, xác thực và ký được tin cậy. Một khi các cơ chế này được cấu hình không đúng hoặc bị tấn công, chúng có thể trở thành mắt xích yếu nhất của toàn bộ hệ thống.

Đây cũng là lý do tại sao bảo mật cross-chain không thể chỉ dựa vào việc người dùng "cẩn thận hơn một chút", cũng không thể chỉ dựa vào giao thức "đã được kiểm toán một lần". Nó đòi hỏi ví, giao thức, đội ngũ bảo mật, cơ sở hạ tầng cross-chain và người dùng cùng nhau xây dựng một cơ chế nhận diện và phòng vệ rủi ro hoàn chỉnh hơn.

II. Cross-chain không phải là không thể sử dụng, nhưng cần phải đánh giá thêm một bước

Tất nhiên, nói một cách khách quan, cầu nối cross-chain không phải là không thể sử dụng.

Hệ sinh thái đa chuỗi đã trở thành hiện thực của Web3. Người dùng cần chuyển tài sản giữa các mạng lưới khác nhau, sử dụng ứng dụng, tham gia DeFi hoặc quản lý vị thế. Cầu nối cross-chain vẫn là cơ sở hạ tầng quan trọng. Điều thực sự cần thay đổi không phải là "hoàn toàn không sử dụng cross-chain", mà là đừng coi cross-chain như một giao dịch chuyển tiền thông thường.

Trước khi cross-chain, người dùng ít nhất nên thực hiện thêm một vài bước đánh giá.

Thứ nhất, xác nhận xem điểm vào có đến từ kênh chính thức hay không, đặc biệt chú ý không truy cập trang cross-chain từ tin nhắn riêng của cộng đồng, quảng cáo tìm kiếm, hướng dẫn lạ hoặc liên kết trong phần bình luận. Đặc biệt là ngay sau khi xảy ra sự cố bảo mật, kẻ tấn công rất dễ lợi dụng để tạo ra các trang web phishing giả mạo "di chuyển tài sản", "khôi phục khẩn cấp" nhằm dụ dỗ mọi người kết nối ví, ủy quyền tài sản hoặc nhập cụm từ khôi phục.

Thứ hai, kiểm tra xem dự án có đưa ra thông báo bất thường hay không. Nếu một cầu nối nào đó vừa bị tấn công, đừng vội vàng tiếp tục cross-chain, cũng đừng mù quáng giao dịch các tài sản wrapped liên quan, bởi vì theo kinh nghiệm lịch sử, sau nhiều vụ tấn công, rủi ro không được giải quyết hoàn toàn ngay lập tức. Kẻ tấn công có thể vẫn nắm giữ tài sản không được bảo chứng, hoặc tiếp tục lợi dụng thanh khoản thị trường để thu được tài sản thật.

Thứ ba, kiểm tra với số lượng nhỏ, không chuyển một lần số lượng tài sản lớn, đặc biệt là khi sử dụng cầu nối không quen thuộc, chuỗi không quen thuộc hoặc cầu nối mới ra mắt. Trước tiên hãy dùng số lượng nhỏ để xác nhận đường đi, thời gian đến và tài sản trên chuỗi đích có bình thường không. Mặc dù kiểm tra với số lượng nhỏ không thể loại bỏ hoàn toàn rủi ro, nhưng có thể giảm thiểu tổn thất lớn do sai đường đi, điểm vào giả hoặc vấn đề nhận diện tài sản.

Thứ tư, khi ủy quyền, hãy cố gắng tránh ủy quyền không giới hạn. Hiện nay, nhiều thao tác cross-chain yêu cầu ủy quyền token cho hợp đồng trước. Nếu chỉ cross 100 USDT, tốt nhất không nên cấp ủy quyền dài hạn với số lượng cao hơn nhiều so với số lượng thực tế sử dụng. Rốt cuộc, hạn mức ủy quyền càng lớn, mức độ phơi nhiễm rủi ro tiềm ẩn sau này càng cao. Đặc biệt là các ủy quyền DApp không sử dụng trong thời gian dài, không rõ nguồn gốc hoặc thay đổi trạng thái bảo mật, càng nên được kiểm tra và dọn dẹp thường xuyên.

Thứ năm, đọc kỹ thông tin chữ ký và giao dịch. Đừng vì thiếu thời gian mà liên tục nhấn xác nhận, đặc biệt là khi thấy trang web lạ, địa chỉ hợp đồng bất thường, nội dung chữ ký kỳ lạ hoặc yêu cầu quyền hạn không khớp với thao tác dự kiến của bạn, hãy dừng ngay lập tức.

Cuối cùng, sau khi cross-chain hoàn tất, việc kiểm tra bảo mật cũng không nên kết thúc ngay lập tức. Nhiều người dùng có thể nghĩ rằng sau khi tài sản đến tài khoản, thao tác cross-chain đã kết thúc. Nhưng từ góc độ bảo mật, việc kiểm tra sau cross-chain cũng quan trọng không kém:

• Sau khi hoàn tất cross-chain, trước tiên hãy sử dụng trình khám phá khối (block explorer) để kiểm tra trạng thái giao dịch trên cả chuỗi nguồn và chuỗi đích, xác nhận xem tài sản có thực sự được chuyển đi hay không, thay vì chỉ nhìn vào màn hình hiển thị của trang web;
• Đồng thời, cũng cần xác nhận xem tài sản nhận được trên chuỗi đích có phải là tài sản do hợp đồng chính thức hoặc đáng tin cậy phát hành hay không. Đừng giao dịch bừa bãi các Token trùng tên không rõ nguồn gốc, và càng không nên vì thấy ví mình bỗng dưng có thêm một loại tài sản nào đó mà nhấp vào trang web hoặc điểm nhận thưởng liên quan đến nó;
• Cuối cùng, thường xuyên kiểm tra và dọn dẹp các ủy quyền không còn sử dụng, bởi vì nhiều ủy quyền không tự động hết hạn. Nếu bạn đã từng cấp quyền hạn mức cao cho một cầu nối cross-chain, DApp hoặc hợp đồng nào đó, ngay cả khi sau này không sử dụng nữa, rủi ro phơi nhiễm vẫn có thể tiếp tục tồn tại;

Nói cho cùng, bảo mật không chỉ xảy ra tại thời điểm bảo quản cụm từ khôi phục, mà trải dài suốt quá trình kết nối DApp, ủy quyền token, ký giao dịch, chuyển tiền cross-chain và dọn dẹp sau đó.

III. Thứ còn ẩn giấu hơn cả cầu nối, đó là "con người" bị tấn công

Các sự cố cầu nối cross