Một vụ khai thác đã dẫn đến việc đúc 1 tỷ token Wrapped Polkadot (DOT) vào đầu tuần này thậm chí còn tồi tệ hơn nhiều so với báo cáo ban đầu, theo nhóm phát triển Hyperbridge.
Điều ban đầu được cho là khoản thiệt hại token trị giá 237.000 USD liên quan đến cầu nối Polkadot-Ethereum thực tế đã lên đến gần 2,5 triệu USD—tăng hơn 10 lần so với báo cáo ban đầu.
“Kẻ tấn công đã khai thác lỗ hổng trong logic xác minh bằng chứng Merkle Mountain Range (MMR), cho phép kẻ thủ phạm đúc tài sản và rút cạn tài sản ký quỹ trên Token Gateway,” nhóm đã đăng trong một báo cáo phân tích sau sự cố vào thứ Năm.
Kẻ tấn công đã rút khoảng 245 ETH từ một hợp đồng TokenGateway liên quan.
Khoảng một giờ sau, một tin nhắn xuyên chuỗi giả mạo đã vượt qua quá trình xác minh bằng chứng MMR, cho phép kẻ tấn công đúc 1 tỷ DOT cầu nối và xả chúng vào thanh khoản mỏng.
— Hyperbridge (@hyperbridge) April 16, 2026
“Ước tính công khai ban đầu của chúng tôi về tổn thất thực tế là khoảng 237.000 USD, dựa trên việc bán tháo DOT cầu nối trên Ethereum có thể quan sát được ngay lập tức,” họ nói thêm. “Con số đó không phản ánh toàn bộ bức tranh, chúng tôi đã biết sau này.”
Ngoài 237.000 USD tổn thất có thể quan sát được, một hợp đồng thông minh đã bị khai thác để lấy 245 ETH, tương đương khoảng 561.000 USD, vài giờ trước khi các token DOT độc hại được đúc. Hơn nữa, ba blockchain được kết nối—Base, Arbitrum, và BNB Chain—cũng bị ảnh hưởng, mâu thuẫn với báo cáo ban đầu của nhóm rằng chỉ có Wrapped DOT trên Ethereum bị ảnh hưởng.
“Sau khi đối chiếu hoạt động của kẻ tấn công trên mỗi trong số bốn chuỗi, bản chất hai giai đoạn của cuộc tấn công, và các khoản thiệt hại từ các nhóm khuyến khích liên quan, tổng tổn thất thực tế đã được điều chỉnh là khoảng 2,5 triệu USD, tính bằng ETH và DOT vào thời điểm xảy ra vụ khai thác,” họ viết.
Số tiền bị đánh cắp đã được truy vết đến một địa chỉ gửi tiền trên Binance, và công ty đã liên hệ với đội ngũ tuân thủ của sàn giao dịch tập trung và các cơ quan thực thi pháp luật liên quan trong nỗ lực đóng băng và thu hồi tài sản bị đánh cắp—nhưng họ không hy vọng có giải pháp sớm.
“Chúng tôi đang theo đuổi mọi kênh có thể, nhưng khung thời gian thực tế để thu hồi đáng kể trong một trường hợp như thế này được tính bằng tháng, và có thể kéo dài đến một năm,” họ nói thêm.
Mặc dù mục tiêu của họ là bồi thường đầy đủ cho tất cả người dùng bị ảnh hưởng, hoàn trả các khoản tiền đã bị xâm phạm, giao thức cho biết họ “cam kết phân bổ token BRIDGE có cấu trúc để bù đắp phần tổn thất còn lại,” nếu không thể làm như vậy.
Tuy nhiên, BRIDGE, token giao thức gốc của họ, duy trì khối lượng giao dịch cực kỳ thấp, lần cuối giao dịch 1.800 USD trong 24 giờ khi nó được trao đổi với giá khoảng 0,006 USD vào ngày 29 tháng 3, theo dữ liệu từ CoinGecko. Ở mức giá đó, token này có vốn hóa thị trường khoảng 858.000 USD, chỉ bằng khoảng một phần ba tổng thiệt hại từ vụ khai thác.
Chức năng cầu nối trên bốn blockchain bị ảnh hưởng vẫn đang tạm dừng, và sẽ chỉ tiếp tục sau khi một bản vá được triển khai và kiểm toán.
“Điều này không làm thay đổi niềm tin của chúng tôi rằng khả năng tương tác xuyên chuỗi chỉ an toàn thông qua các bằng chứng mật mã,” nhóm giao thức đã viết.
“Điều mà vụ khai thác này đã làm rõ, một cách đắt giá, là logic xác minh cần được kiểm toán thường xuyên hơn và thử nghiệm đối kháng ở mọi lớp của ngăn xếp,” họ nói thêm. “Đó là tiêu chuẩn mà Token Gateway sẽ hoạt động theo trong tương lai.”
