Bên trong vụ hack cầu nối Verus–Ethereum trị giá 11,6 triệu USD

Trong lúc vụ khai thác đang diễn ra, các công ty bảo mật blockchain như Blockaid và PeckShield đã phát hiện hoạt động bất thường và cảnh báo người dùng tránh tương tác với bridge.

Lỗ hổng cốt lõi: thiếu kiểm tra số tiền giữa hai blockchain

Phân tích kỹ thuật cho thấy lỗi nằm trong logic xác thực cross‑chain của bridge.

Hai phía của hệ thống — Verus và Ethereum — đều có cơ chế kiểm tra, nhưng lại bỏ sót một điều quan trọng: không có bước nào xác nhận rằng số tiền gửi trên chuỗi nguồn trùng khớp với số tiền được rút trên Ethereum.

Điều này dẫn đến tình huống:

• Bridge xác minh cấu trúc và tính hợp lệ của thông điệp cross‑chain
• Nhưng không xác minh rằng khoản rút tiền thực sự được bảo chứng bởi khoản gửi tương ứng

Nhờ vậy, kẻ tấn công có thể tạo một thông điệp hợp lệ về mặt kỹ thuật nhưng yêu cầu rút số tiền lớn hơn nhiều so với khoản gửi thật.

Các nhà nghiên cứu mô tả đây là một khoảng trống logic nhỏ nhưng cực kỳ nguy hiểm, thậm chí có thể sửa chỉ bằng vài dòng mã Solidity.

Điểm đáng chú ý là vụ hack không liên quan đến việc bị lộ private key, phá vỡ chữ ký số hay lỗi mật mã — nó hoàn toàn xuất phát từ lỗi kiểm tra logic trong hợp đồng bridge.

Bao nhiêu tiền đã bị lấy và bao nhiêu được trả lại

Ban đầu, vụ khai thác rút khỏi bridge khoảng 11,58 triệu USD.

Ngay sau đó, đội ngũ Verus đưa ra một đề nghị: nếu kẻ tấn công trả lại phần lớn số tiền trong thời gian ngắn, họ có thể giữ lại một phần như bug bounty.

Kết quả cuối cùng:

• 4.052,4 ETH được trả lại cho đội ngũ Verus (khoảng 8,5 triệu USD)
• 1.350 ETH được giữ lại bởi kẻ tấn công như tiền thưởng (khoảng 2,8 triệu USD)

Tổng cộng khoảng 75% số tiền bị đánh cắp đã được thu hồi nhờ thỏa thuận này.

Vì sao nhiều dự án DeFi lại thương lượng với hacker

Phản ứng của Verus phản ánh một xu hướng ngày càng phổ biến trong hệ sinh thái DeFi.

Khi tài sản bị đánh cắp nhưng vẫn có thể theo dõi trên blockchain, nhiều dự án chọn đàm phán trực tiếp với kẻ tấn công để tăng khả năng thu hồi tiền thay vì để mất toàn bộ.

Các cuộc thương lượng thường diễn ra dưới dạng:

• Thông điệp trực tiếp trên blockchain gửi đến ví hacker
• Công bố công khai trên mạng xã hội
• Đề nghị giữ lại một phần tiền như bug bounty

Theo các báo cáo bảo mật, trong hơn 200 vụ tấn công DeFi năm 2024, khoảng 220 triệu USD đã được thu hồi thông qua hành động white‑hat hoặc đàm phán với hacker — tương đương khoảng 15% tổng thiệt hại.

Vì sao cross‑chain bridge vẫn là mục tiêu dễ bị tấn công

Vụ Verus tiếp tục nhấn mạnh một vấn đề lớn của Web3: cầu nối cross‑chain là một trong những thành phần rủi ro nhất của hạ tầng crypto.

Lý do là bridges phải xác minh rằng một sự kiện trên blockchain A là hợp lệ trước khi thực thi giao dịch trên blockchain B. Nếu quá trình xác minh này có bất kỳ lỗ hổng nào, kẻ tấn công có thể tạo hoặc rút tài sản mà không cần khoản gửi tương ứng.

Dữ liệu bảo mật cho thấy quy mô của vấn đề: đến tháng 5/2026 đã có tám vụ hack liên quan đến bridge gây thiệt hại khoảng 328,6 triệu USD.

Việc bridges nắm giữ lượng thanh khoản lớn từ nhiều blockchain khiến chúng trở thành mục tiêu đặc biệt hấp dẫn cho các cuộc tấn công.

Bài học lớn từ vụ việc

Vụ khai thác cầu nối Verus–Ethereum cho thấy chỉ một bước kiểm tra bị bỏ sót cũng có thể dẫn tới thiệt hại hàng triệu USD. Một lỗi logic nhỏ trong quá trình xác thực cross‑chain đã cho phép thông điệp giả kích hoạt việc rút tiền hợp lệ.

Đồng thời, cách sự cố được giải quyết cũng phản ánh thực tế mới của DeFi: khi hack xảy ra, các thỏa thuận bounty và đàm phán với hacker đang trở thành công cụ khẩn cấp để giảm thiểu thiệt hại, trong lúc dự án vá lỗ hổng và khôi phục niềm tin của người dùng.