CrossCurve cầu nối chuỗi chéo bị tấn công gây thiệt hại 3 triệu USD: Lỗ hổng hợp đồng thông minh cảnh báo lần nữa

Tiện ích của tài chính chuỗi chéo ẩn sau đó, lỗ hổng an ninh như quả bom hẹn giờ, liên tục bị kích nổ theo những cách tương tự, khiến toàn ngành rơi vào trạng thái suy ngẫm.

Vào ngày 2 tháng 2 năm 2026 theo giờ Bắc Kinh, CrossCurve (tên cũ EYWA), giao thức thanh khoản chuỗi chéo do sáng lập viên Curve Finance Michael Egorov chứng thực, chính thức xác nhận rằng giao thức cầu nối chuỗi chéo của họ đang bị tấn công do lỗ hổng hợp đồng thông minh. Kẻ tấn công đã giả mạo tin nhắn chuỗi chéo, vượt qua xác thực của cổng chính, kích hoạt mở khóa token trái phép, dẫn đến khoảng 3 triệu USD bị đánh cắp trên nhiều chuỗi.

Tổng quan sự kiện: Tại sao kiến trúc xác thực đa lớp lại thất bại?

Khoảng ngày 31 tháng 1 năm 2026, tổ chức an ninh blockchain Defimon Alerts phát hiện rằng số dư của hợp đồng cốt lõi PortalV2 của CrossCurve giảm từ khoảng 3 triệu USD xuống gần như bằng 0. CrossCurve nhanh chóng phát hành thông báo khẩn cấp trên nền tảng X: “Mạng cầu nối của chúng tôi hiện đang bị tấn công, kẻ tấn công đã khai thác lỗ hổng trong một hợp đồng thông minh. Trong quá trình điều tra, vui lòng tạm dừng mọi tương tác với CrossCurve.”

Trớ trêu thay, trước đó, CrossCurve luôn tự hào về kiến trúc xác thực đa lớp của “cầu đồng thuận” như một điểm mạnh cốt lõi. Kiến trúc này tích hợp Axelar, LayerZero và mạng oracle EYWA của chính họ, nhằm loại bỏ điểm lỗi đơn bằng cách sử dụng nhiều nguồn xác thực độc lập. Đội ngũ dự án từng tuyên bố: “Xác suất bị hacker tấn công đồng thời nhiều giao thức chuỗi chéo là gần như bằng không.”

Phân tích lỗ hổng: Một xác thực chết người

Phân tích an ninh tiết lộ bản chất kỹ thuật của vụ tấn công này. Nguyên nhân gốc rễ của lỗ hổng nằm ở một thiếu sót tưởng chừng đơn giản trong xác thực, nhưng đủ để phá vỡ toàn bộ hệ thống xác thực đa lớp phức tạp.

Đường đi của cuộc tấn công

Trung tâm của cuộc tấn công diễn ra trong hợp đồng ReceiverAxelar của CrossCurve. Hợp đồng này chịu trách nhiệm nhận tin nhắn từ mạng chuỗi chéo Axelar và thực thi các lệnh tương ứng.

Trong điều kiện bình thường, mọi tin nhắn chuỗi chéo cần phải qua xác thực đồng thuận của mạng Axelar. Tuy nhiên, hàm expressExecute trong hợp đồng này tồn tại điểm yếu chết người. Kẻ tấn công phát hiện ra rằng họ có thể gọi trực tiếp hàm này và truyền vào các tham số tin nhắn chuỗi chéo giả mạo, trong khi hợp đồng không kiểm tra đầy đủ nguồn gốc thực sự của tin nhắn.

Quy trình tấn công

Ngay khi lệnh giả mạo được chấp nhận, hợp đồng sẽ gửi lệnh mở khóa token đến hợp đồng cốt lõi PortalV2 chịu trách nhiệm giữ tài sản.

Vì hợp đồng PortalV2 hoàn toàn tin tưởng lệnh từ ReceiverAxelar, nó sẽ trung thành giải phóng các loại tài sản bị khóa trong hợp đồng đến địa chỉ do kẻ tấn công chỉ định. Quá trình này có thể lặp lại nhiều lần, cho đến khi toàn bộ tài sản chính trong hợp đồng bị cướp sạch.

Lịch sử tái diễn: Vết sẹo an ninh chưa lành suốt bốn năm

Sự kiện này khiến cộng đồng an ninh tiền mã hóa cảm thấy quen thuộc một cách mạnh mẽ. Chuyên gia an ninh Taylor Monahan bày tỏ sự sốc: “Tôi không thể tin nổi đã bốn năm trôi qua mà tình hình vẫn không có gì thay đổi.” Bà đề cập đến vụ tấn công cầu chuỗi chéo Nomad gây chấn động ngành vào tháng 8 năm 2022. Lúc đó, Nomad bị tấn công do một lỗ hổng xác thực khởi tạo tương tự, bị đánh cắp khoảng 1,9 tỷ USD. Thật đáng sốc hơn nữa, do cách khai thác lỗ hổng quá đơn giản, sau sự kiện, đã biến thành một “cuộc đua cướp tiền”, hơn 300 địa chỉ đã sao chép phương thức tấn công để trộm cắp.

Từ Nomad đến CrossCurve, phương pháp tấn công về bản chất rất giống nhau: đều bắt nguồn từ việc thiếu xác thực nguồn tin nhắn chuỗi chéo – yếu tố an ninh cơ bản nhất. Những bi kịch lặp đi lặp lại này nhấn mạnh rằng, mặc dù ngành đang phát triển nhanh chóng, nhưng một số quy chuẩn an ninh hợp đồng thông minh và tiêu chuẩn kiểm toán căn bản vẫn chưa được thực thi hiệu quả.

Phản ứng thị trường: Khủng hoảng niềm tin và biến động giá

Sự cố an ninh nhanh chóng gây ra phản ứng dây chuyền trên thị trường. CrossCurve bị tấn công có mối liên hệ chặt chẽ với các giao thức DeFi hàng đầu như Curve Finance, nơi mà nhà sáng lập từng là người bảo chứng tín nhiệm quan trọng cho dự án này.

Sau sự kiện, Curve Finance đã nhanh chóng phát hành tuyên bố trên nền tảng X, khuyên người dùng “xem xét lại vị thế của mình và cân nhắc rút bỏ các phiếu bầu này”, đồng thời nhấn mạnh việc cần cảnh giác khi tương tác với “dự án bên thứ ba”. Lời tuyên bố này được hiểu là một cách nhanh chóng để tách rời, nhằm tránh ảnh hưởng tiêu cực đến uy tín của chính họ.

Phản ứng của thị trường chính thống

Theo dữ liệu giá của Gate, tính đến ngày 2 tháng 2 năm 2026, theo dữ liệu của Gate, giá Bitcoin (BTC) trong 24 giờ qua biến động -2.51%, còn 76,814 USD.

Trong cùng thời gian, giá Ethereum (ETH) biến động -7.42%, còn 2,271.18 USD. Dù thị trường có biến động do nhiều yếu tố, nhưng việc các giao thức liên quan chính của hệ sinh thái DeFi gặp lỗ hổng an ninh lớn rõ ràng đã làm tăng tâm lý phòng thủ của thị trường.

Phản tỉnh ngành: Nghịch lý an toàn của cầu chuỗi chéo

Sự kiện CrossCurve một lần nữa đẩy “cầu chuỗi chéo là phần dễ tổn thương nhất của thế giới tiền mã hóa” lên hàng đầu trong nhận thức cộng đồng. Dù là Ronin (mất 6.25 tỷ USD), Wormhole (mất 3.25 tỷ USD) hay lần này, tất cả đều chứng minh nhận định này.

Nghịch lý an toàn của cầu chuỗi chéo nằm ở chỗ: để đạt được tự do luân chuyển tài sản giữa các chuỗi khác nhau, nó phải xây dựng các trung tâm tin cậy và xác thực trong môi trường của nhiều chuỗi độc lập, có mô hình an ninh khác nhau. Trung tâm này (hợp đồng thông minh) nếu mắc lỗi logic, sẽ trở thành điểm lỗi đơn của toàn bộ quỹ tiền. Ngay cả khi thiết kế như CrossCurve với xác thực bên ngoài đa lớp, nhưng hợp đồng của chính nó có lỗi, thì mọi lớp phòng vệ bên ngoài đều trở nên vô nghĩa.

Tiến triển mới và cách ứng phó của người dùng

Đối mặt với dòng chảy vốn liên tục và áp lực dư luận, đội ngũ CrossCurve đã thực hiện các biện pháp ứng phó khủng hoảng sau khi vụ việc bị phơi bày. Theo tuyên bố mới nhất của họ, dự án đã thiết lập hạn chót 72 giờ để hoàn trả vốn. Họ kêu gọi các địa chỉ liên quan hợp tác hoàn trả số tiền chuyển nhầm, và dựa trên “Chính sách tiết lộ trách nhiệm an toàn”, cam kết thưởng tối đa 10% số tiền cho hacker hợp lệ.

Nếu trong thời gian quy định không đạt được thỏa thuận, dự án sẽ nâng cấp các biện pháp đối phó, bao gồm khởi kiện pháp lý và hợp tác với các sàn giao dịch, nhà phát hành stablecoin để theo dõi và phong tỏa các tài sản liên quan.

Giá Bitcoin sau 24 giờ xảy ra sự cố giảm 2.51%, trong khi Ethereum giảm sâu hơn, đạt 7.42%. Thị trường phản hồi bằng những con số lạnh lùng, phản ánh sự sụp đổ niềm tin do lỗi mã gây ra.

Đội ngũ CrossCurve đang đếm ngược 72 giờ “kế hoạch an toàn”. Giao dịch trên trình duyệt blockchain cho thấy số tiền bị đánh cắp vẫn còn nằm trong địa chỉ của kẻ tấn công, chưa có dấu hiệu chuyển lớn. Cơn bão do thiếu một dòng mã xác thực đã gây ra này cuối cùng sẽ kết thúc bằng một cuộc hòa giải của hacker trắng hoặc biến thành một cuộc chiến dài hạn đòi hỏi truy đuổi tài sản xuyên quốc gia, câu trả lời vẫn còn bỏ ngỏ.