Lỗ hổng CrossCurve Bridge Rút Cạn Khoảng 3 Triệu USD, Tái Hiện Rủi Ro Liên Chuỗi

ccn.comXuất bản vào 2026-02-02Cập nhật gần nhất vào 2026-02-02

Tóm tắt

CrossCurve, một giao thức thanh khoản đa chuỗi, đã bị tấn công khai thác vào ngày 2/2, với thiệt hại ước tính khoảng 3 triệu USD trên nhiều mạng lưới. Sự cố xảy ra do một lỗ hổng trong hợp đồng thông minh cho phép kẻ tấn công giả mạo một thông điệp liên chuỗi để bỏ qua xác thực và mở khóa token trái phép. CrossCurve đã khuyến cáo người dùng tạm dừng mọi tương tác và điều tra sự việc. Giám đốc điều hành Boris Povar đã công bố mười địa chỉ Ethereum nhận tiền và đề nghị trả thưởng 10% nếu hoàn trả tài sản trong vòng 72 giờ, đồng thời cảnh báo sẽ có hành động pháp lý. Sự kiện này một lần nữa làm nổi bật rủi ro bảo mật vốn có của các cầu nối liên chuỗi, nơi tập trung thanh khoản và chỉ một lỗi xác minh có thể dẫn đến tổn thất lớn.

Điểm Quan Trọng

CrossCurve thông báo cầu nối của họ đang "bị tấn công" vào ngày 2/2 và yêu cầu người dùng tạm dừng tương tác.
Defimon Alerts, có liên kết với Decurity, ước tính thiệt hại khoảng 3 triệu USD trên "một số mạng".
Các báo cáo ban đầu và bài đăng về bảo mật mô tả một thông điệp liên chuỗi giả mạo đã bỏ qua xác thực và kích hoạt mở khóa token trên chuỗi đích.

Giao thức thanh khoản liên chuỗi CrossCurve cho biết cầu nối của họ đã bị khai thác vào ngày 2/2, với các công cụ giám sát bảo mật ước tính thiệt hại khoảng 3 triệu USD trên nhiều mạng.

Giao thức này đã kêu gọi người dùng tạm dừng tương tác trong khi họ điều tra.

Sau đó, CEO Boris Povar đã công bố mười địa chỉ Ethereum mà ông cho là đã nhận tiền và đề nghị một khoản tiền thưởng lên đến 10% nếu tài sản được trả lại trong vòng 72 giờ, đồng thời cảnh báo dự án sẽ thực hiện hành động pháp lý nếu không có liên lạc.

Thử Các Sàn Giao Dịch Crypto Được Đề Xuất

Được tài trợ

Tiết lộ

Bitget

khuyến mãi

Phần thưởng cho người dùng mới lên đến 6,200 USDT.

Coin

vào ngày 2/2 rằng cầu nối của họ đang "bị tấn công", liên quan đến việc khai thác một lỗ hổng trong một trong các hợp đồng thông minh được sử dụng trong hệ thống liên chuỗi của họ.

Lỗ hổng này cho phép kẻ tấn công giả mạo một thông điệp để bỏ qua xác thực và mở khóa token.

Một mô tả được trích dẫn cho biết kẻ tấn công có thể gọi một đường dẫn thực thi "express" trên một hợp đồng nhận bằng cách sử dụng thông điệp liên chuỗi giả mạo, sau đó kích hoạt mở khóa trên một hợp đồng cổng.

CrossCurve chưa công bố báo cáo phân tích đầy đủ sau sự cố hoặc xác nhận con số thiệt hại cuối cùng. Các ước tính riêng biệt tập trung vào khoảng 3 triệu USD.

Trong một bài đăng tiếp theo, Povar cho biết nhóm đã xác định được mười địa chỉ Ethereum có liên quan đến số tiền nhận được và đặt ra khung thời gian 72 giờ để trả lại tài sản hoặc liên hệ trước khi leo thang.

Ông nói rằng dự án đã sẵn sàng theo đuổi các biện pháp dân sự và hình sự và phối hợp với các đối tác trong ngành để đóng băng tài sản.

CrossCurve không ngay lập tức trả lời yêu cầu bình luận về lỗi cụ thể, số tiền thiệt hại cuối cùng hoặc lộ trình mở cửa trở lại.

Một cảnh báo riêng biệt đến từ Curve Finance, cho biết người dùng được phân bổ vào các nhóm CrossCurve "có thể muốn xem xét lại vị thế của họ" và xem xét việc gỡ bỏ phiếu bầu, kêu gọi "các quyết định có nhận thức rủi ro" khi tương tác với các bên thứ ba.

Tại Sao Thông Điệp Giả Mạo và Giả Định Xác Thực Tiếp Tục Thành Công

Các cuộc khai thác cầu nối thường trông giống như "chỉ là một lỗi hợp đồng thông minh". Mẫu hình sâu xa hơn là sự thất bại trong xác minh.

Một cầu nối là một lời hứa: giải phóng tài sản trên Chuỗi B vì điều gì đó có thực đã xảy ra trên Chuỗi A. Phần khó khăn là chứng minh "điều gì đó có thực" đó mà không tin tưởng vào thông điệp của kẻ tấn công.

Trong việc truyền thông điệp nói chung, hợp đồng đích phải xác minh rằng một lệnh gọi đã được bộ xác thực phê duyệt bằng cách kiểm tra với cổng kết nối (ví dụ: thông qua một hàm xác thực) trước khi thực thi.

Nếu một hợp đồng người nhận chấp nhận một đường dẫn thay thế bỏ qua hoặc làm suy yếu việc kiểm tra đó, một thông điệp giả mạo có thể trở thành một khoản thanh toán.

Đó là lý do tại sao "phía người nhận" quan trọng không kém lớp thông điệp.

Một giao thức có thể định tuyến thông điệp thông qua cơ sở hạ tầng có uy tín và vẫn mất tiền nếu hợp đồng đích của chính nó triển khai logic dễ dãi, các đường dẫn nhanh không an toàn hoặc các giả định không chính xác về các đảm bảo từ upstream.

Tài liệu của CrossCurve đóng khung rủi ro liên chuỗi như một danh mục "thiên nga đen" và mô tả mục tiêu thiết kế là định tuyến thông qua nhiều giao thức xác thực độc lập ("Consensus Bridge") để giảm thiểu các điểm lỗi duy nhất.

Nhưng ngay cả các thiết kế đa đường dẫn cũng có thể bị phá hoại bởi một hợp đồng tích hợp yếu ở rìa.

Sự Thật Khó Chịu: UX Cầu Nối Muốn Tốc Độ, Bảo Mật Muốn Hoài Nghi

Người dùng muốn việc bridging có cảm giác tức thì: ít cú nhấp chuột hơn, ít thời gian chờ đợi hơn, tính cuối cùng nhanh hơn.

Bảo mật muốn điều ngược lại: nhiều xác nhận hơn, giới hạn chặt chẽ hơn và "không làm gì trừ khi bạn chắc chắn."

Một số ngăn xếp liên chuỗi cung cấp rõ ràng các tính năng tốc độ như thực thi "express", nơi các tác nhân off-chain có thể đẩy nhanh việc phân phối kết quả dự định.

Sự đánh đổi là các đường dẫn nhanh đòi hỏi sự thận trọng bổ sung trong cách thực thi tính xác thực, bởi vì hệ thống đang cố gắng di chuyển trước khi các bằng chứng chậm nhất đến.

Căng thẳng này là lý do tại sao các vụ hack cầu nối vẫn luôn xảy ra. Các cầu nối tập trung thanh khoản, và một lần bỏ qua xác minh duy nhất có thể mở khóa tài sản trên nhiều mạng trong một lần chạy.

Những Gì Cần Theo Dõi Tiếp Theo

CrossCurve vẫn chưa phát hành báo cáo sự cố đầy đủ. Trong hầu hết các sự cố cầu nối, các tín hiệu tiếp theo quan trọng là:

Liệu các hợp đồng có tiếp tục bị tạm dừng và những thay đổi mã nào được triển khai trước bất kỳ lần khởi động lại nào.
Liệu kẻ tấn công có trả lại tiền hay không, thường là để đổi lấy tiền thưởng.
Liệu các nhà phát hành stablecoin, sàn giao dịch hoặc các công ty phân tích có đánh dấu và đóng băng các địa chỉ liên quan hay không.
Liệu các nhóm bảo mật độc lập có công bố phân tích nguyên nhân gốc rễ được xác thực hay không.

Hiện tại, bài học rút ra rất quen thuộc và vẫn hữu ích: các cầu nối liên chuỗi vẫn là một trong những điểm thất bại có thể lặp lại nhiều nhất trong crypto, bởi vì "sự thật xuyên chuỗi" là một vấn đề kỹ thuật khó với tiền thật đằng sau mọi giả định.

Đây là một tin đang phát triển và sẽ được cập nhật.

Đối Tác Bảo Mật Được Đề Xuất

Các Sàn Giao Dịch An Toàn Nhất Các Sàn Giao Dịch Crypto An Toàn Nhất (Bảo Mật Nhất)? Kiểm Tra Những Sàn Giao Dịch Này
Ví Crypto Bảo Mật Đánh Giá và Xếp Hạng Ví Crypto
Cá Cược Ẩn Danh Kiểm Tra Các Sòng Bạc Không KYC Được Chúng Tôi Đề Xuất

Câu hỏi Liên quan

QSự kiện khai thác lỗ hổng CrossCurve Bridge xảy ra khi nào và thiệt hại ước tính là bao nhiêu?

ASự kiện khai thác lỗ hổng CrossCurve Bridge được thông báo vào ngày 2 tháng 2. Theo ước tính từ các bộ phận giám sát an ninh, tổn thất vào khoảng 3 triệu USD trên nhiều mạng lưới.

QPhương thức tấn công vào CrossCurve Bridge được mô tả như thế nào?

AKẻ tấn công đã lợi dụng một lỗ hổng trong hợp đồng thông minh để giả mạo một thông điệp chuỗi chéo, từ đó bỏ qua quá trình xác thực và kích hoạt việc mở khóa token trên chuỗi đích.

QCEO của CrossCurve đã có phản ứng gì sau sự cố?

ACEO Boris Povar đã công bố mười địa chỉ Ethereum nhận tiền và đề nghị một khoản tiền thưởng lên đến 10% nếu tài sản được trả lại trong vòng 72 giờ, đồng thời cảnh báo sẽ theo đuổi các biện pháp pháp lý nếu không có liên lạc.

QTại sao các vụ khai thác cầu nối chuỗi chéo vẫn tiếp tục xảy ra?

ACác vụ khai thác này thường xảy ra do xung đột giữa trải nghiệm người dùng (muốn tốc độ nhanh) và bảo mật (đòi hỏi sự thận trọng). Các 'đường dẫn nhanh' như thực thi 'express' có thể bị lợi dụng nếu việc xác thực tính xác thực không được thực thi cẩn thận.

QNgười dùng nên làm gì sau sự cố này theo khuyến nghị từ Curve Finance?

ACurve Finance khuyến cáo người dùng được phân bổ vào các nhóm thanh khoản CrossCurve 'nên xem xét lại vị thế của họ' và cân nhắc việc rút phiếu bầu, đồng thời đưa ra 'quyết định có nhận thức rủi ro' khi tương tác với các bên thứ ba.

Nội dung Liên quan

Cardano Vừa Nhận Thêm Một Đòn Giáng Lớn Giữa Lời Cáo Buộc Về "Chuỗi Xác Sống"

Nền tảng phân tích Cardano TapTools thông báo ngừng hoạt động sau hai tuần, gây tổn thất lớn cho hệ sinh thái ADA. Lý do được đưa ra là vấn đề lãnh đạo sau khi nhiều nhà sáng lập và kỹ thuật viên chủ chốt rời đi, cùng với chi phí vận hành cao trong thị trường tiền mã hóa suy thoái. Quyết định này diễn ra trong bối cảnh Cardano bị chỉ trích là "chuỗi ma" với hoạt động người dùng thấp. Số liệu từ DeFiLlama cho thấy tổng giá trị bị khóa (TVL) trên DeFi của ADA giảm 15%, xuống còn khoảng 100 triệu USD, và các giao thức hàng đầu cũng sụt giảm TVL. Giá ADA hiện giao dịch quanh mức 0,16 USD, giảm hơn 16% trong ngày và chạm mức thấp nhất trong 5 năm, khiến đồng tiền này rơi khỏi top 10 về vốn hóa thị trường. Charles Hoskinson, người sáng lập Cardano, thừa nhận sẽ có một "làn sóng thất bại" và cảnh báo nửa cuối năm sẽ khó khăn khi nhiều dApp biến mất. Ông cho biết đề xuất sử dụng quỹ kho bạc để hỗ trợ các dự án gặp khó khăn đã bị cộng đồng bỏ phiếu bác bỏ.

bitcoinist38 phút trước

Cardano Vừa Nhận Thêm Một Đòn Giáng Lớn Giữa Lời Cáo Buộc Về "Chuỗi Xác Sống"

bitcoinist38 phút trước

Nhà vận động hành lang về tiền mã hóa của SEC nói Mã nguồn Blockchain được Hiến pháp bảo vệ

Ủy viên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), Hester Peirce, cho rằng việc phát hành mã nguồn mở blockchain là hoạt động được bảo vệ theo Tu chính án thứ nhất của Hiến pháp. Bà lập luận rằng các nhà phát triển phần mềm DeFi không nên tự động bị coi là trung gian chứng khoán chỉ vì người khác sử dụng công cụ họ tạo ra, và trách nhiệm pháp lý nên thuộc về những người thực sự thực hiện hành vi bất hợp pháp. Nhận xét của Peirce diễn ra trong bối cảnh SEC, dưới sự lãnh đạo của Chủ tịch Paul Atkins, đang xem xét lại cách áp dụng luật chứng khoán hiện hành vào tài sản kỹ thuật số và hệ thống phi tập trung. Bà chỉ ra rằng các quy định hiện tại của SEC được thiết kế xung quanh các tổ chức trung gian truyền thống và có thể không phù hợp khi áp dụng cho các mạng blockchain phân tán. Gần đây, SEC cũng đã đưa ra hướng dẫn cho thấy một số giao diện người dùng cung cấp quyền truy cập vào giao thức phi tập trung có thể không bị coi là nhà môi giới theo định nghĩa pháp lý truyền thống. Điều này, cùng với bài phát biểu của Peirce và kế hoạch chiến lược của SEC (nơi coi công nghệ blockchain là ưu tiên dài hạn), cho thấy cơ quan này đang nỗ lực điều chỉnh các ranh giới quy định trong không gian tài chính phi tập trung.

bitcoinist1 giờ trước

Nhà vận động hành lang về tiền mã hóa của SEC nói Mã nguồn Blockchain được Hiến pháp bảo vệ

bitcoinist1 giờ trước

Chuyên gia tiền điện tử nói điều xấu sắp xảy ra với Bitcoin, những gì cần mong đợi

Chuyên gia thị trường tiền điện tử Tony Research cảnh báo Bitcoin (BTC) có thể sắp đối mặt với một đợt sụt giảm giá mạnh. Ông chỉ ra rằng BTC đã phá vỡ mức hỗ trợ quan trọng quanh 70.000 USD và đồng thời phá vỡ kênh giá tăng dài hạn hình thành từ đầu năm, hiện đang giao dịch dưới đám mây Ichimoku - một tín hiệu giảm giá lớn. Dự báo của chuyên gia này là: trước tiên, Bitcoin có thể hồi phục ngắn hạn từ 67.000 USD lên khoảng 74.000 USD. Tuy nhiên, sau đó, giá có thể lao dốc xuống vùng thấp mới, nhắm mục tiêu trong khoảng 54.000 đến 56.000 USD. Ông nhấn mạnh thị trường vẫn đang trong giai đoạn giảm và việc kỳ vọng một thị trường tăng giá ngay lúc này là thiếu khôn ngoan. Các nhà đầu tư nên chuẩn bị cho nhiều đợt phục hồi ngắn hạn xen kẽ trong xu hướng giảm tổng thể trước khi đáy cuối cùng có khả năng được hình thành.

bitcoinist3 giờ trước

Chuyên gia tiền điện tử nói điều xấu sắp xảy ra với Bitcoin, những gì cần mong đợi

bitcoinist3 giờ trước

Các Tỷ Phú Tiền Mã Hóa Ủng Hộ Nigel Farage Khi Các Cá Cược Chính Trị Tăng Cao

Tổng số tiền gây quỹ của đảng Reform UK trong quý I năm 2026 đạt 12,5 triệu USD, vượt xa các đảng truyền thống là Labour và Conservative. Phần lớn số tiền này đến từ hai nhà tài trợ tỷ phú tiền mã hóa: Christopher Harborne (cổ đông của Tether) đóng góp 4 triệu USD và Ben Delo (đồng sáng lập BitMEX) đóng góp 5,4 triệu USD. Lãnh đạo Nigel Farage đã thu hút sự ủng hộ của ngành công nghiệp tiền mã hóa bằng các đề xuất như giảm thuế lợi tức vốn từ 24% xuống 10% và kêu gọi Ngân hàng Anh xây dựng dự trữ Bitcoin. Tuy nhiên, khoản quà tặng cá nhân 6,7 triệu USD từ Harborne cho Farage đang bị điều tra về việc khai báo. Dữ liệu từ Ủy ban Bầu cử Anh cho thấy tổng đóng góp chính trị tăng hơn gấp đôi so với cùng kỳ năm ngoái, với sự gia tăng mạnh từ Reform UK. Harborne đã đóng góp tổng cộng 20 triệu USD cho đảng này trong 12 tháng qua, trở thành một trong những nhà tài trợ cá nhân lớn nhất trong chính trường Anh.

bitcoinist3 giờ trước

Các Tỷ Phú Tiền Mã Hóa Ủng Hộ Nigel Farage Khi Các Cá Cược Chính Trị Tăng Cao

bitcoinist3 giờ trước

CẬP NHẬT – Michael Saylor Cố Gắng Giảm Nhiệt Cho Cuộc Xung Đột Nội Bộ Trong Bitcoin — Nhưng Ông ấy Có Thành Công?

Michael Saylor, chủ tịch điều hành của MicroStrategy, đã công bố một bài viết phân chia cộng đồng Bitcoin thành bốn nhóm chính: Người theo chủ nghĩa tối đa (Bitcoin Maximalists), Nhà tư bản Bitcoin (Bitcoin Capitalists), Nhà công nghệ Bitcoin (Bitcoin Technologists) và Người theo chủ nghĩa cơ bản (Bitcoin Fundamentalists). Ông cho rằng sự khác biệt này phản ánh sự trưởng thành và phát triển của Bitcoin chứ không phải là dấu hiệu sụp đổ. Mỗi nhóm có quan điểm riêng về cách Bitcoin nên phát triển, từ việc giữ nguyên tính chất "tiền tệ mạnh" chống lạm phát cho đến việc tích hợp sâu vào hệ thống tài chính truyền thống, hay tập trung cải tiến công nghệ và bảo vệ các nguyên tắc phi tập trung ban đầu. Saylor lập luận rằng Bitcoin có thể giữ vững lớp nền tảng (base layer) trong khi vẫn cho phép thị trường và các sản phẩm tài chính phát triển xung quanh nó. Bài viết của ông xuất hiện trong bối cảnh MicroStrategy vừa thực hiện lần bán Bitcoin đầu tiên kể từ năm 2022, gây chú ý trên thị trường. Câu hỏi đặt ra là liệu Saylor có thể xoa dịu những tranh cãi nội bộ này hay không, khi mà tiền bạc, chính trị và nguyên tắc đều đang va chạm trong hệ sinh thái Bitcoin.

bitcoinist5 giờ trước