Ngày 2/6/2025, cầu nối Force Bridge thuộc hệ sinh thái Nervos Network đã trở thành mục tiêu tấn công của tin tặc, gây tổn thất gần 3,7 triệu USD tài sản tiền điện tử. Vụ việc được công bố bởi công ty an ninh blockchain Cyvers, đánh dấu một trong những vụ hack nghiêm trọng liên quan đến hạ tầng cross-chain trong năm nay.
Tin tặc tẩu tán tài sản qua Tornado Cash
Theo báo cáo từ Cyvers, hacker đã chiếm đoạt một loạt tài sản điện tử, bao gồm:
- 258.000 USDT
- 539,09 ETH (ước tính 1,35 triệu USD)
- 898.300 USDC
- 60.400 DAI
- 0,79 WBTC (ước tính 83.000 USD)
Cùng một lượng token khác trên BNB Chain
Toàn bộ token trên mạng Ethereum đã nhanh chóng được quy đổi sang ETH và chuyển đến dịch vụ trộn tiền Tornado Cash nhằm che giấu dấu vết.
Nervos Network xác nhận sự cố, tạm dừng cầu nối
Ngay sau khi vụ việc bị phát hiện, đội ngũ phát triển Nervos Network đã xác nhận vụ hack, đồng thời ngừng hoạt động Force Bridge để phục vụ công tác điều tra.
Đáng chú ý, chỉ hai ngày trước đó (31/5/2025), Nervos đã công bố kế hoạch khai tử Force Bridge do nền tảng này không còn nhận được sự quan tâm từ cộng đồng và hiệu suất sử dụng giảm mạnh. Việc này làm dấy lên nhiều nghi vấn về thời điểm cũng như lỗ hổng bảo mật tồn tại từ trước.
Cross-chain tiếp tục là “gót chân Achilles” của DeFi
Sự cố tại Nervos một lần nữa cho thấy những điểm yếu cố hữu của các cầu nối cross-chain, vốn là mục tiêu ưa thích của tin tặc do thường xuyên nắm giữ khối lượng tài sản khổng lồ nhưng lại gặp khó khăn trong khâu bảo mật.
Trong quá khứ, nhiều vụ hack nghiêm trọng từng xảy ra với các dự án tương tự:
Dự án Thiệt hại ước tính Thời điểm
- Ronin (Axie) 624 triệu USD Tháng 3/2022
- Poly Network 611 triệu USD Tháng 8/2021
- BNB Bridge 586 triệu USD Tháng 10/2022
- Wormhole 325 triệu USD Tháng 2/2022
- Nomad 190 triệu USD Tháng 8/2022
- Harmony Bridge 100 triệu USD Tháng 6/2022
- HECO Bridge 99,1 triệu USD Tháng 11/2023
Vụ tấn công thứ hai chỉ trong 24 giờ
Đây là vụ tấn công tiền mã hóa thứ hai được phát hiện chỉ trong vòng 24 giờ, sau khi sàn giao dịch BitoPro (Đài Loan) cũng lên tiếng xác nhận đã bị hack từ đầu tháng 5, dẫn đến thiệt hại ước tính 11,5 triệu USD.
Tính từ đầu năm 2025 đến nay, giới bảo mật đã ghi nhận nhiều vụ hack quy mô vừa và lớn, trong đó các cầu nối và sàn giao dịch tập trung tiếp tục là mục tiêu chính của giới tội phạm mạng.
Cảnh báo và biện pháp phòng ngừa
Các chuyên gia bảo mật khuyến cáo người dùng nên:
- Hạn chế sử dụng các cầu nối chưa được kiểm toán kỹ lưỡng
- Ưu tiên các giao thức sử dụng công nghệ zk hoặc bằng chứng hợp lệ
- Lưu trữ tài sản dài hạn trên ví lạnh
- Theo dõi sát các cảnh báo an ninh từ các công ty bảo mật như Cyvers, PeckShield, CertiK, v.v.
Vụ tấn công Force Bridge một lần nữa gióng lên hồi chuông cảnh báo về tính an toàn của các cầu nối cross-chain trong bối cảnh DeFi ngày càng phát triển. Khi giá trị tài sản tăng cao, vấn đề bảo mật phải được đặt lên hàng đầu nếu các nền tảng blockchain muốn giữ vững niềm tin từ cộng đồng người dùng toàn cầu.
