Ba vụ tấn công DeFi trong 4 ngày phơi bày lỗ hổng lớn của hạ tầng crypto

Đáng chú ý, giao thức cho biết tài sản bị mất là tài sản của chính protocol, không phải tiền gửi của người dùng hoặc nhà cung cấp thanh khoản.

Phản ứng của giao thức:

• Tự động phát hiện hành vi bất thường và dừng giao dịch ngay lập tức.
• Tạm dừng quá trình thay đổi vault (vault churn) và rà soát hạ tầng node.
• Điều tra node mới được thêm vào mạng bị nghi là điểm khởi phát của vụ tấn công.

Sự cố này làm dấy lên lo ngại về bảo mật của ví MPC/TSS, vốn được thiết kế để phân tán quyền kiểm soát khóa riêng nhưng vẫn phụ thuộc vào hành vi và cấu hình đúng của các node.

2. Vụ khai thác cầu nối Verus–Ethereum — 18/5/2026

Thiệt hại ước tính: khoảng 11,58 triệu USD.

Ba ngày sau, hacker nhắm vào cầu nối cross‑chain giữa Verus và Ethereum, rút khoảng 11,5–11,6 triệu USD tài sản. Số tiền bị lấy bao gồm 103,6 tBTC, 1.625 ETH và khoảng 147.000 USDC trước khi được hoán đổi thành ETH và gom về một ví duy nhất.

Phân tích bảo mật cho thấy kẻ tấn công đã gửi một thông điệp chuyển tài sản cross‑chain giả mạo nhưng vẫn vượt qua quy trình xác minh của cầu nối.

Nguyên nhân sâu xa là lỗ hổng xác thực giữa hai phía của bridge. Cả blockchain Verus và smart contract trên Ethereum đều thực hiện kiểm tra, nhưng không bên nào buộc phải xác minh rằng giá trị đầu vào thực sự khớp với số tiền được trả ở chuỗi đích.

Điều này cho phép hacker tạo một bằng chứng trông hợp lệ trong khi thực tế gần như không khóa tài sản ở chuỗi nguồn.

Phản ứng của hệ thống:

• Các công ty bảo mật như Blockaid và PeckShield phát hiện vụ tấn công gần như theo thời gian thực.
• Các node và hoạt động của bridge bị tạm dừng để điều tra.
• Nhóm phát triển bắt đầu triển khai các bản vá để tăng cường kiểm tra xác thực cross‑chain.

Vụ việc có nhiều điểm tương đồng với các vụ tấn công bridge nổi tiếng trước đây như Wormhole hay Nomad, nhắc lại rằng bridge vẫn là điểm yếu lớn nhất trong DeFi.

3. Vụ khai thác Echo Protocol — báo cáo ngày 18–19/5

Giá trị mint trên giấy: khoảng 76,6–76,7 triệu USD.

Thiệt hại thực tế: khoảng 816.000 USD.

Echo Protocol — một nền tảng DeFi xoay quanh Bitcoin chạy trên blockchain Monad — bị tấn công khi hacker chiếm quyền một khóa riêng admin liên quan đến hợp đồng mint eBTC.

Với quyền admin, kẻ tấn công đã mint khoảng 1.000 eBTC trái phép, tương đương khoảng 76–77 triệu USD theo giá thị trường.

Tuy nhiên, thanh khoản hạn chế khiến hacker không thể rút phần lớn giá trị đó.

Phân tích on‑chain cho thấy hacker đã:

• Nạp 45 eBTC vào giao thức lending Curvance làm tài sản thế chấp.
• Vay khoảng 11,29 WBTC.
• Bridge sang Ethereum và swap sang ETH.
• Rửa khoảng 384 ETH qua Tornado Cash.

Các báo cáo cho rằng thiệt hại thực tế khoảng 816.000 USD, thấp hơn nhiều so với giá trị eBTC được mint.

Phản ứng của hệ sinh thái:

• Echo Protocol tạm dừng mọi giao dịch cross‑chain để điều tra.
• Nhóm phát triển giành lại quyền kiểm soát khóa admin.
• 955 eBTC còn lại trong ví hacker bị đốt, loại khỏi lưu thông.
• Curvance tạm dừng thị trường lending liên quan.

Sự cố cho thấy rủi ro khi giao thức phụ thuộc vào một khóa admin duy nhất, không có các cơ chế bảo vệ như multisig hoặc timelock.

Những gì ba vụ tấn công này cho thấy về bảo mật DeFi năm 2026

1. Bridge cross‑chain vẫn là mục tiêu hàng đầu

Vụ Verus chứng minh rằng chỉ cần một khoảng trống nhỏ trong logic xác thực cross‑chain cũng đủ để hacker tạo bằng chứng giả và rút tài sản từ pool của bridge.

Do bridge thường giữ lượng tài sản lớn làm tài sản thế chấp cho nhiều mạng, đây thường là nơi xảy ra những vụ hack lớn nhất trong crypto.

2. Hệ thống khóa phân tán vẫn có rủi ro vận hành

Thiết kế của THORChain dùng threshold signatures và MPC để tránh việc một node nắm toàn bộ khóa. Tuy nhiên, nếu quy trình thêm node, hành vi validator hoặc việc triển khai TSS có lỗi, hệ thống ký vẫn có thể bị phá vỡ.

Nói cách khác, phi tập trung hóa quyền kiểm soát khóa không loại bỏ rủi ro — nó chỉ chuyển rủi ro sang lớp phối hợp giữa các validator.

3. Khóa admin vẫn là điểm yếu hệ thống

Echo Protocol cho thấy chỉ một khóa admin bị lộ có thể tạo ra hàng chục triệu USD tài sản tổng hợp trong vài phút.

Dù phần lớn token đã bị đốt sau đó, sự kiện này minh họa rõ ràng cách quyền đặc biệt có thể gây bất ổn thị trường.

4. Can thiệp khẩn cấp vẫn cần thiết

Trong cả ba vụ, giao thức phải áp dụng các biện pháp khẩn cấp:

• Dừng giao dịch và ký vault (THORChain)
• Ngừng hoạt động bridge (Verus)
• Tạm dừng thị trường, thu hồi khóa admin và đốt token (Echo)

Những biện pháp này giúp giảm thiểu thiệt hại nhưng cũng cho thấy thực tế: nhiều hệ thống DeFi vẫn cần can thiệp tập trung trong khủng hoảng.

Bức tranh lớn

Chuỗi sự cố tháng 5/2026 cho thấy bảo mật DeFi không còn chỉ là vấn đề lỗi smart contract. Những điểm yếu lớn nhất đang nằm ở hạ tầng vận hành như:

• xác thực thông điệp cross‑chain
• phối hợp validator và signer
• quản lý khóa riêng có đặc quyền
• cơ chế quản trị và phản ứng khẩn cấp

Khi DeFi tiếp tục mở rộng sang nhiều blockchain và giao thức liên kết với nhau, chính những lớp hạ tầng này — chứ không chỉ code Solidity — sẽ là nơi có khả năng xảy ra các vụ khai thác lớn tiếp theo.