Gravity Bridge mất trắng 5,4 triệu USD vì nghi vấn lộ 'chìa khóa chủ', cảnh báo điểm yếu chết người của các cầu nối cross-chain

Con số thiệt hại chi tiết cho thấy bức tranh rõ ràng về những gì đã mất:

• ~4,3 triệu USD tiền USDC
• 274 ETH (khoảng 553.000 USD)
• 434.000 USD tiền USDT
• Token PAYG trị giá khoảng 64.000 USD

Tính đến thời điểm hiện tại, các quan chức của Gravity Bridge vẫn chưa đưa ra bất kỳ phản hồi chính thức nào về vụ việc .

Đường đi của tiền 'bẩn': ChangeNOW, Binance và một 'kho' ETH còn nguyên

Thay vì ngay lập tức 'xả' sạch mọi thứ thành tiền mặt, kẻ tấn công đã chọn một cách tiếp cận nhỏ giọt. PeckShield đã theo dõi một phần tiền bị đánh cắp di chuyển qua ChangeNOW—một dịch vụ hoán đổi phi tập trung không yêu cầu định danh (non-custodial swap), và Binance—sàn giao dịch tiền mã hóa tập trung lớn nhất thế giới .

Tuy nhiên, chi tiết đáng chú ý nhất đối với các 'thám tử' on-chain lại nằm ở thứ mà hacker chưa động đến. Theo cập nhật mới nhất từ các hệ thống giám sát, ví của kẻ tấn công vẫn còn chứa 2.102 ETH, trị giá khoảng 4,23 triệu USD . Điều đó cho thấy kẻ gian đã chuyển đổi số stablecoin và token 'kém an toàn' bị đánh cắp thành ETH và dừng lại trước khi rút tiền mặt hoàn toàn—có thể là do lo ngại sẽ kích hoạt các lệnh đóng băng từ sàn giao dịch hoặc thu hút sự chú ý của cơ quan thực thi pháp luật.

Số dư mà kẻ tấn công giữ lại chính là một 'dấu chân sống' trên blockchain. Các nhà nghiên cứu bảo mật và công ty phân tích blockchain vẫn đang tiếp tục theo dõi ví này, và bất kỳ động thái nào trong tương lai gần như chắc chắn sẽ kích hoạt cảnh báo trên tất cả các nền tảng tuân thủ lớn .

Gravity Bridge là gì và tại sao nó lại quan trọng?

Gravity Bridge là một blockchain phi tập trung, không yêu cầu lòng tin (trustless), được xây dựng với mục đích kết nối hệ sinh thái Ethereum và Cosmos thông qua giao thức IBC (Inter-Blockchain Communication - Giao thức truyền thông liên chuỗi). Nó cho phép người dùng chuyển các tài sản ERC-20 như USDC, DAI và WETH vào vũ trụ Cosmos và ngược lại, mà không cần phải dựa vào một bên trung gian tập trung nào .

Tính đến giữa năm 2026, Gravity Bridge đã tích lũy được khối lượng giao dịch cầu nối lũy kế lên tới hơn 50 tỷ USD và vận hành với một mạng lưới hơn 100 trình xác thực (validator) để đảm bảo tính cuối cùng của giao dịch (settlement finality) . Cây cầu này được thiết kế để hoạt động trung lập và không cần cấp phép, với quyền quản trị được phân bổ cho nhiều bên liên quan khác nhau. Trước vụ khai thác ngày 30 tháng 5, tổng giá trị tài sản bị khóa (TVL) của nó vào khoảng 11,5 triệu USD, theo dữ liệu theo dõi on-chain được trích dẫn trong các báo cáo về vụ việc .

Vụ tấn công đã phơi bày một mâu thuẫn cơ bản trong thiết kế cầu nối. Kiến trúc của Gravity Bridge thì phi tập trung ở cấp độ quản trị và xác thực, nhưng việc sử dụng khóa ký đặc quyền để phê duyệt các giao dịch rút tiền ở phía Ethereum đã tạo ra một điểm tập trung niềm tin. Khi chiếc chìa khóa đó được cho là đã bị xâm phạm, kẻ tấn công có thể rút cạn tiền mà không cần phải đánh bại toàn bộ mô hình bảo mật phức tạp hơn của cầu nối .

Một tháng 'đẫm máu' cho các cây cầu cross-chain

Vụ khai thác Gravity Bridge không phải là một sự cố đơn lẻ. Tính đến giữa tháng 5 năm 2026, PeckShield đã ghi nhận tám vụ hack cầu nối cross-chain lớn với tổng giá trị 328,6 triệu USD tài sản bị đánh cắp chỉ trong năm 2026 . Danh sách bao gồm:

Gravity Bridge trở thành cái tên thứ chín gia nhập danh sách ảm đạm này, có khả năng đẩy tổng thiệt hại của năm 2026 vượt qua con số 330 triệu USD trước khi bước sang tháng Sáu. Tần suất và quy mô của những vụ việc này đã đưa vấn đề an ninh cầu nối trở thành một trong những vấn đề cấp bách nhất của ngành .

Quản lý khóa tập trung: Gót chân Achilles muôn thuở

Nếu có một sợi chỉ đỏ xuyên suốt các vụ khai thác này, thì đó không nhất thiết là chất lượng code, mà chính là kiến trúc quản lý khóa.

Vụ việc Kelp/LayerZero vào tháng Tư đã một mình chiếm tới 292 triệu USD thiệt hại, và giống như sự kiện của Gravity Bridge, nó cũng đặt ra câu hỏi về cơ chế ủy quyền hơn là những lỗi kỹ thuật thuần túy trong code. Khi an ninh của một cầu nối phụ thuộc vào một nhóm nhỏ các khóa ký—ngay cả khi những khóa đó được nắm giữ bởi các bên có uy tín—thì bất kỳ một khóa bị xâm phạm nào cũng có thể trở thành chiếc 'chìa khóa vạn năng' cho kẻ tấn công .

Vụ Gravity Bridge củng cố thêm cho một lập luận mà các nhà nghiên cứu bảo mật đã đưa ra trong nhiều năm: sự đồng thuận phi tập trung ở một tầng (layer) của hệ thống không thể bù đắp cho việc quản lý khóa tập trung ở một tầng khác. Các giải pháp như ví tính toán đa bên (MPC), cơ chế chữ ký ngưỡng (threshold signing) và mô-đun bảo mật phần cứng (HSM) đã được đề xuất như những biện pháp giảm thiểu rủi ro, nhưng việc áp dụng chúng trên khắp các cầu nối vẫn còn rất thiếu đồng bộ.

Sự cố này cũng làm nổi bật một thực tế mang tính thực dụng cho các nhà điều tra. Vì kẻ tấn công đã hoán đổi số stablecoin và token bị đánh cắp sang ETH và để phần lớn số tiền đó trong một chiếc ví có thể truy vết được, vụ tấn công trở thành một hồ sơ trực tiếp về khả năng thu hồi tài sản và truy vết pháp lý. Liệu điều này có dẫn đến việc tiền được trả lại, hay chỉ đơn giản là thêm một địa chỉ nữa vào 'danh sách đen' on-chain vô tận, thì vẫn còn là một câu hỏi bỏ ngỏ.