Cầu chuỗi chéo Gravity Bridge bị trộm 5,4 triệu đô la, hợp đồng gần như đã cạn kiệt

Theo phân tích trên chuỗi của Specter, hợp đồng cầu nối Gravity Bridge trong hệ sinh thái Cosmos có khả năng bị rò rỉ khóa, dẫn đến khoảng 5,4 triệu USD tài sản bị đánh cắp, bao gồm 430 triệu USDC, 274 WETH, 434.000 USDT và khoảng 64.000 USD PAYG. Số dư hợp đồng chỉ còn khoảng 85.000 USD, gần như đã cạn kiệt.
（Tiền đề: Khóa riêng của nhà triển khai StakeDAO bị lộ, kẻ tấn công đã tạo ra 5,4 nghìn tỷ vsdCRV trên Arbitrum）
（Bổ sung nền: DeFi trở thành vườn địa đàng của hacker? Trong một tháng có 13 vụ tấn công, thiệt hại 6,3 tỷ USD）

Tóm tắt chính

• Khóa hợp đồng cầu nối Gravity Bridge bị lộ, khoảng 5,4 triệu USD tài sản bị đánh cắp, số dư hợp đồng còn lại chỉ còn 85.000 USD
• Tài sản bị đánh cắp gồm 430 triệu USDC, 274 WETH, 434.000 USDT và 64.000 USD PAYG
• Đây là vụ rò rỉ khóa thứ hai trong vòng ba ngày, tổng thiệt hại từ các vụ tấn công cầu nối trong năm 2026 đã vượt quá 328 triệu USD

Phân tích trên chuỗi của Specter hôm nay (30/5) đã cảnh báo rằng hợp đồng cầu nối trong hệ sinh thái Cosmos, Gravity Bridge, có khả năng bị rò rỉ khóa. Kẻ tấn công đã lấy đi khoảng 5,4 triệu USD tài sản từ hợp đồng này. Theo ghi nhận trên Etherscan, số dư của hợp đồng trên Ethereum hiện chỉ còn khoảng 85.000 USD, gần như đã cạn kiệt.

Bốn loại tài sản bị rút sạch một lần

Chi tiết tài sản bị đánh cắp gồm 430 triệu USDC (chiếm khoảng 79,6%), 274 WETH (khoảng 55,3 nghìn USD), 434.000 USDT và khoảng 64.000 USD PAYG.

Địa chỉ liên quan là 0x7B58…da1F9 và 0x4d3c…C7A47. Ghi nhận trên chuỗi cho thấy, địa chỉ đầu tiên cách đây khoảng 7 giờ đã nhận tiền từ Binance, sau đó chuyển sang địa chỉ thứ hai. Hiện tại, địa chỉ thứ hai đang nắm giữ khoảng 2.065 ETH (khoảng 4,16 triệu USD), cho thấy kẻ tấn công đã đổi một phần tài sản bị đánh cắp thành ETH.

Gravity Bridge là dự án cầu nối trong hệ sinh thái Cosmos từ thời kỳ sơ khai, chủ yếu đảm nhận việc kết nối tài sản giữa Cosmos và Ethereum. Mô hình an ninh của hợp đồng trên Ethereum giả định rằng cần hơn hai phần ba số xác thực viên ký để chuyển tiền, việc lộ khóa có nghĩa là kẻ tấn công có thể đã vượt qua lớp bảo vệ đa chữ ký này.

Ba ngày hai vụ, khóa riêng trở thành sát thủ hàng đầu trong DeFi

Đây đã là vụ thứ hai trong vòng ba ngày liên tiếp xảy ra rò rỉ khóa riêng. Ngày 27/5, khóa riêng của nhà triển khai StakeDAO cũng bị lộ, kẻ tấn công đã sử dụng lại các nút đối tác LayerZero v2 để tạo ra hơn 5,4 nghìn tỷ vsdCRV trên Arbitrum và đổi lấy ETH.

Rò rỉ khóa riêng đã trở thành phương thức tấn công chính của hacker trong năm 2026. Ít nhất đã xảy ra 8 vụ tấn công lớn vào các giao thức cầu nối, thiệt hại tổng cộng vượt quá 328 triệu USD. Trong đó, Kelp DAO (2,93 tỷ USD) và Drift (2,85 tỷ USD) là hai trường hợp lớn nhất, đều liên quan đến việc bị đánh cắp khóa hoặc quyền quản trị.

Manuel Araoz, đồng sáng lập OpenZeppelin, tuần trước đã kêu gọi mọi người rút khỏi các vị trí DeFi như Aave, MakerDAO, gọi đó là “tất cả DeFi đều không an toàn”. Vụ việc của Gravity Bridge một lần nữa chứng minh cảnh báo của ông, rằng hacker không cần tìm lỗ hổng hợp đồng thông minh, chỉ cần có một chiếc khóa.

Tại thời điểm phát hành, phía chính thức của Gravity Bridge vẫn chưa đưa ra tuyên bố nào về vụ việc này.

Các câu hỏi thường gặp

Gravity Bridge là gì? Bị đánh cắp bao nhiêu tiền?

Gravity Bridge là giao thức cầu nối trong hệ sinh thái Cosmos, chịu trách nhiệm kết nối tài sản giữa Cosmos và Ethereum. Khóa hợp đồng cầu nối bị lộ, khoảng 5,4 triệu USD tài sản đã bị đánh cắp, gồm 430 triệu USDC, 274 WETH, 434.000 USDT và 64.000 USD PAYG.

Vụ tấn công cầu nối trong năm 2026 nghiêm trọng đến mức nào?

Ít nhất đã xảy ra 8 vụ tấn công lớn vào các giao thức cầu nối trong năm nay, thiệt hại tổng cộng vượt quá 328 triệu USD. Rò rỉ khóa riêng là phương thức tấn công chính, trong đó Kelp DAO (2,93 tỷ USD) và Drift (2,85 tỷ USD) là hai trường hợp lớn nhất.