Giải thích vụ khai thác cầu nối Verus–Ethereum trị giá 11,5 triệu USD

Sau đó, số tiền này được swap và hợp nhất thành khoảng 5.402 ETH, có thể nhằm đơn giản hóa việc rửa tiền hoặc chuyển sang các mạng khác.

Vì sao bằng chứng mật mã vẫn “hợp lệ”

Điểm gây khó hiểu ban đầu là cầu nối vẫn xác minh được các bằng chứng mật mã.

Cầu nối Verus sử dụng hai cơ chế phổ biến trong hệ sinh thái blockchain:

• Notarized state root – xác nhận trạng thái của blockchain nguồn
• Merkle proof – chứng minh rằng một dữ liệu cụ thể tồn tại trong trạng thái đó

Điều này có nghĩa hệ thống có thể xác nhận rằng một thông điệp thực sự tồn tại trong dữ liệu của chuỗi nguồn.

Nhưng Merkle proof chỉ chứng minh dữ liệu tồn tại, chứ không chứng minh rằng dữ liệu đó hợp lệ về mặt kinh tế hoặc được bảo chứng bởi tài sản đã khóa.

Theo các nhà nghiên cứu, hợp đồng của cầu nối:

• xác minh đúng state root đã được chứng thực
• xác minh đúng Merkle proof
• nhưng không kiểm tra xem số tiền yêu cầu rút có thực sự được khóa ở chuỗi nguồn hay không

Nói cách khác:

Bằng chứng xác nhận thông điệp tồn tại — nhưng hợp đồng không xác nhận thông điệp đó có quyền mở khóa số tiền tương ứng hay không.

Lỗ hổng xác thực bị thiếu

Các chuyên gia bảo mật mô tả đây là một lỗi business‑logic validation (lỗi logic nghiệp vụ) trong hợp đồng thông minh.

Hợp đồng Ethereum đáng lẽ phải kiểm tra các yếu tố sau khớp với dữ liệu trên chuỗi nguồn:

• loại token
• số lượng chuyển
• địa chỉ người nhận
• trạng thái kế toán của kho dự trữ

Vì thiếu bước kiểm tra này, hợp đồng đã cho phép rút tiền không được bảo chứng bởi khoản tiền gửi thực sự.

Một điểm đáng chú ý trong phân tích ban đầu: kẻ tấn công chỉ cần trả khoảng 10 USD phí giao dịch trên mạng Verus để kích hoạt việc rút hàng triệu USD trên Ethereum.

Do đây là lỗi logic chứ không phải lỗi mật mã hay khóa riêng bị lộ, các nhà phát triển reportedly đã chuẩn bị bản vá Solidity để khắc phục sau khi lỗ hổng được xác định.

So sánh với các vụ hack cầu nối lớn trước đây

Vụ Verus không phải trường hợp duy nhất. Nhiều vụ hack DeFi lớn trong quá khứ cũng bắt nguồn từ lỗi xác thực tương tự.

Wormhole (2022)

Vụ hack Wormhole bridge tháng 2/2022 khiến hệ thống bị mint giả 120.000 wETH, trị giá hơn 320 triệu USD vào thời điểm đó.

Kẻ tấn công đã vượt qua bước kiểm tra chữ ký, khiến hệ thống tin rằng tài sản đã được khóa trên chuỗi nguồn.

Nomad (2022)

Cầu nối Nomad bị khai thác vào tháng 8/2022, gây thiệt hại khoảng 190 triệu USD sau khi một lỗi cấu hình khiến thông điệp gần như được chấp nhận mặc định.

Điều này cho phép kẻ tấn công sao chép hoặc giả mạo giao dịch để mở khóa tiền từ hợp đồng.

Verus giống trường hợp nào hơn?

Vụ Verus có nhiều điểm tương đồng với Nomad hơn Wormhole. Trong cả hai trường hợp:

• hệ thống chấp nhận thông điệp hoặc proof là hợp lệ
• nhưng logic xác định thông điệp đó cho phép làm gì lại bị lỗi.

Kết quả cuối cùng vẫn giống nhau: rút tiền không có tài sản thế chấp trong pool của bridge.

Vì sao cầu nối cross‑chain luôn là mục tiêu hấp dẫn

Bridge là một trong những thành phần rủi ro nhất trong DeFi vì chúng kết hợp nhiều lớp phức tạp trong cùng một hệ thống:

• xác minh bằng chứng mật mã
• truyền thông điệp giữa blockchain
• kế toán tài sản trong smart contract
• lưu trữ kho tài sản lớn

Nếu chỉ một bước xác thực nhỏ bị thiếu, hợp đồng có thể cho phép rút tiền vượt quá lượng tài sản thực sự được khóa.

Vụ Verus nhấn mạnh một nguyên tắc quan trọng trong thiết kế bridge:

“Proof hợp lệ” không đồng nghĩa với “giao dịch hợp lệ.”

Câu hỏi về bồi thường và bảo hiểm

Khi các báo cáo ban đầu xuất hiện, thông tin về kế hoạch hoàn tiền hoặc khôi phục tài sản vẫn còn hạn chế và chưa có công bố đầy đủ từ phía dự án.

Nếu số tiền bị đánh cắp không thể thu hồi, việc bồi thường có thể phụ thuộc vào nhiều yếu tố, chẳng hạn:

• quỹ dự trữ của dự án
• quyết định quản trị cộng đồng
• đàm phán với kẻ tấn công
• bảo hiểm DeFi từ bên thứ ba

Những vụ việc như Verus cũng làm nóng lại tranh luận trong ngành: liệu sự cố bridge nên được xem là lỗi hợp đồng thông minh, lỗi hạ tầng, hay rủi ro thiết kế hệ thống — điều có thể ảnh hưởng trực tiếp tới việc các nhà cung cấp bảo hiểm DeFi có chi trả hay không.

Bài học lớn cho DeFi

Vụ khai thác Verus–Ethereum cho thấy các lỗ hổng nguy hiểm nhất trong DeFi thường không phải phá vỡ mật mã, mà là những sai sót nhỏ trong logic xác thực của hợp đồng.

Một hệ thống có thể xác minh chữ ký, Merkle proof và state root hoàn hảo — nhưng vẫn bị tấn công nếu hợp đồng không kiểm tra rằng dữ liệu được chứng minh thực sự cho phép giao dịch đang được thực thi.

Sự khác biệt tưởng chừng nhỏ này đã khiến hệ sinh thái DeFi mất hàng tỷ USD trong nhiều vụ hack cầu nối suốt những năm qua — và Verus là lời nhắc nhở mới nhất.