Cầu nối Verus – Ethereum bị tấn công, thất thoát hơn 11,5 triệu USD

Điều tra sơ bộ cho thấy vụ tấn công nhắm vào cầu nối Verus – Ethereum, nhiều khả năng xuất phát từ lỗi xác thực thông điệp liên chuỗi, nhóm lỗ hổng từng gây ra hàng loạt vụ hack lớn nhất lịch sử DeFi như Ronin, Wormhole hay Nomad.

Nền tảng bảo mật on-chain Blockaid cho biết địa chỉ ví của hacker được xác định là “0x5aBb…D5777”, được biết hắn ta đã tẩu tán tài sản đánh cắp sang ví “0x65C…C25F9”.

Attacker EOA: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
Drainer wallet (still holding the funds): 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

Exploit tx: https://t.co/OqBh2alXGc
Bridge contract: https://t.co/EN3LkDfId9

— Blockaid (@blockaid_) May 18, 2026

PeckShield thống kê cầu nối Verus – Ethereum đã bị rút khoảng 103,6 tBTC, 1.625 ETH và 147.000 USDC. Toàn bộ số tài sản này sau đó nhanh chóng bị hoán đổi sang khoảng 5.402 ETH, tương đương hơn 11,4 triệu USD theo thị giá hiện hành.

#PeckShieldAlert The @veruscoin Verus-Ethereum Bridge has been drained for 103.6 $tBTC, 1.625K $ETH, and 147K $USDC.

The exploiter swapped the stolen assets for 5,402.4 $ETH (~$11.4M), which currently sits in 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

The attacker’s address… pic.twitter.com/NMa8abhaTH

— PeckShieldAlert (@PeckShieldAlert) May 18, 2026

Ví của hacker được nạp vào trước bằng đúng 1 ETH thông qua Tornado Cash khoảng 14 giờ trước thời điểm cuộc tấn công diễn ra.

Đơn vị bảo mật GoPlus cho biết hacker dường như chỉ gửi một giao dịch giá trị thấp tới hợp đồng cầu nối, sau đó gọi một hàm đặc biệt khiến hệ thống tự động chuyển toàn bộ tài sản dự trữ sang ví của kẻ tấn công.

🚨GoPlus安全警报：@veruscoin 的 Verus-Ethereum Bridge 被攻击，损失约1150万美元

攻击者通过桥合约单笔交易从 Ethereum 侧转移大量资产（1,625 ETH + 103.57 tBTC + 147k USDC）。

这是 2026 年桥相关攻击的又一典型案例，此前 Kelp DAO、Hyperbridge 等桥已累计损失数亿美元。… pic.twitter.com/SB7JmfHggl

— GoPlus中文社区 (@GoPlusZH) May 18, 2026

Theo đánh giá ban đầu, nguyên nhân có thể liên quan đến lỗi xác thực thông điệp cross-chain, giả mạo chữ ký xác nhận giao dịch, vượt qua cơ chế kiểm soát rút tiền hoặc lỗ hổng phân quyền trong hợp đồng thông minh.

Verus là blockchain tập trung vào quyền riêng tư, ra mắt từ năm 2018 và vận hành theo mô hình đồng thuận lai kết hợp giữa proof-of-work và proof-of-stake. Dự án triển khai cầu nối Verus – Ethereum từ tháng 10/2023 nhằm hỗ trợ người dùng chuyển đổi và luân chuyển tài sản giữa hai hệ sinh thái.

Tính đến thời điểm hiện tại, đội ngũ dự án vẫn chưa đưa ra bình luận chính thức về vụ việc.

Điều đáng lo ngại là đây chính là kiểu lỗ hổng đã nhiều lần khiến ngành DeFi thiệt hại hàng tỷ USD trong vài năm qua. Các cầu nối blockchain vốn được thiết kế để kết nối tài sản giữa nhiều mạng lưới khác nhau, song đồng thời cũng trở thành điểm tập kết rủi ro hệ thống của toàn ngành.

Bản chất các cầu nối thường nắm giữ lượng tài sản ký quỹ cực lớn để đảm bảo thanh khoản chuyển đổi liên chuỗi. Điều này khiến chúng trở thành kho bạc tập trung hấp dẫn đối với hacker, trong khi cơ chế xác thực liên chuỗi lại cực kỳ phức tạp và khó kiểm toán tuyệt đối.

Nhiều chuyên gia bảo mật nhận định làn sóng tấn công cầu nối đang quay trở lại mạnh mẽ trong năm 2026. Chỉ riêng từ đầu năm nay, thị trường đã ghi nhận hàng trăm triệu USD thất thoát từ các vụ hack liên quan đến cầu nối và hạ tầng interoperability. Tháng 4 vừa qua thậm chí còn lập kỷ lục về số lượng vụ hack crypto, để lại tổng thiệt hại lên đến hơn 635 triệu USD.

Thực tế, làn sóng tấn công DeFi đang leo thang với tốc độ đáng báo động. Chỉ vài ngày trước vụ Verus, giao thức thanh khoản cross-chain THORChain đã phải tạm dừng toàn bộ giao dịch sau khi bị hack hơn 10 triệu USD trên nhiều blockchain cùng lúc, bao gồm Bitcoin, Ethereum, BNB Chain và Base, khiến token RUNE lao dốc hơn 13%. Trước đó không lâu, nhà tạo lập thanh khoản DeFi TrustedVolumes – đối tác cung cấp thanh khoản cho hệ sinh thái 1inch – cũng bị tấn công lỗ hổng hợp đồng thông minh làm bốc hơi khoảng 6,7 triệu USD. 

Coin68 tổng hợp