Mùa
Bảng xếp hạng
Tin tức
Tìm hiểu
Nghiên cứu
Xếp hạng
Hệ sinh thái

Cách Các Cầu Crypto Di Chuyển Hàng Tỷ Đô Và Vì Sao Hacker Liên Tục Tấn Công

profile-steven-zeiler
Steven Zeiler1 giờ trước
#Tin tặc
Cách Các Cầu Crypto Di Chuyển Hàng Tỷ Đô Và Vì Sao Hacker Liên Tục Tấn Công

Các cầu cross-chain đã mất nhiều tiền vì bị khai thác hơn gần như mọi mảng khác trong crypto.

Cầu Ronin mất 625 triệu đô năm 2022. Wormhole mất 320 triệu đô cùng năm. Nomad mất 190 triệu đô chỉ vài tháng sau đó.

Tuy vậy, các cầu còn quan trọng hơn bao giờ hết.

TAC, Celo và hàng chục dự án khác phụ thuộc vào chúng để kết nối các hệ sinh thái blockchain vốn không thể tự nói chuyện với nhau.

Để hiểu vì sao cầu vừa không thể thiếu vừa nguy hiểm, cần bắt đầu từ việc hiểu chính xác chúng làm gì ở cấp độ kỹ thuật.

Tóm tắt nhanh (TL;DR)

  • Cầu blockchain là phần mềm khóa tài sản trên một chain và phát hành bản đại diện tương đương trên chain khác, cho phép giá trị dịch chuyển giữa các mạng cô lập.
  • Cầu là mục tiêu giá trị cao vì chúng nắm quyền lưu ký tài sản bị khóa, đôi khi lên đến hàng tỷ đô, trong smart contract hoặc ví multisig.
  • Có bốn thiết kế cầu chính (khóa-và-mint, đốt-và-mint, pool thanh khoản và kiểm chứng light-client), mỗi loại có đánh đổi bảo mật khác nhau.
  • Hầu hết các vụ hack lớn khai thác việc lộ khóa validator, thao túng oracle hoặc lỗi logic trong smart contract, chứ không phải phá vỡ blockchain nền tảng.
  • Các thiết kế tối thiểu hóa niềm tin mới dùng zero-knowledge proof đang giảm bề mặt tấn công, nhưng hiện chưa có cầu nào là không rủi ro.

Cầu Blockchain Thực Sự Làm Gì

Mặc định, hai blockchain là hai hệ thống hoàn toàn cô lập.

Bitcoin (BTC) không hề biết gì về Ethereum (ETH). Ethereum cũng không thể tự đọc một cập nhật trạng thái của Solana (SOL).

Mỗi chain xử lý giao dịch của riêng nó, duy trì sổ cái riêng và tự đạt đồng thuận. Không có vùng nhớ chung giữa chúng.

Cầu là lớp phần mềm tạo ra ảo giác “dịch chuyển cross-chain”.

Trên thực tế, tài sản không “di chuyển” vật lý từ chain này sang chain khác. Điều thực sự xảy ra là quy trình hai bước: tài sản được khóa (hoặc đốt) trên chain nguồn, và một bản đại diện tương ứng được mint (hoặc được mở khóa) trên chain đích.

Giao thức cầu điều phối hai sự kiện này và đảm bảo chúng được liên kết với nhau.

Cầu không dịch chuyển tức thời token của bạn. Nó khóa chúng ở một bên và in một “IOU” ở bên kia — câu hỏi bảo mật luôn là: ai kiểm soát khóa, và ai được phép “in”?

Sự khác biệt này cực kỳ quan trọng với bảo mật.

Tài sản gốc được lưu ký ở đâu đó. Chính chỗ lưu ký đó là bề mặt tấn công.

Việc nó nằm trong smart contract, ví multisig do ủy ban validator kiểm soát, hay một hệ mật mã bằng chứng quyết định gần như toàn bộ mức độ an toàn của cầu.

Đọc thêm: Bitget Chặn 150 Triệu Cuộc Tấn Công Mạng Trong Một Năm, Báo Cáo Mới Tiết Lộ

Bốn Thiết Kế Cầu Chính

Không phải cầu nào cũng hoạt động giống nhau. Hiện có bốn mô hình kiến trúc chủ đạo đang chạy thực tế, mỗi loại đánh đổi khác nhau giữa bảo mật, tốc độ, hiệu quả vốn và mức độ phi tập trung.

Khóa-và-Mint (Lock-and-Mint) là thiết kế phổ biến nhất. Người dùng gửi token vào smart contract trên chain nguồn, nơi chúng bị khóa. Tập validator của cầu quan sát khoản nạp này và chỉ thị cho chain đích mint một phiên bản “wrapped” của token đó. Wrapped Bitcoin (WBTC) trên Ethereum hoạt động như vậy. Phần lớn ETH cầu qua các mạng Layer 2 đời đầu cũng thế. Token wrapped đại diện cho một quyền yêu cầu đối với tài sản gốc đang bị khóa. Khi người dùng muốn quay lại, họ đốt token wrapped và khóa trên chain nguồn sẽ được mở.

Đốt-và-Mint (Burn-and-Mint) được dùng khi đơn vị phát hành token kiểm soát nguồn cung trên nhiều chain trực tiếp. Thay vì wrapping, token bị đốt trên chain nguồn (giảm tổng cung ở đó) và được mint mới trên chain đích. Giao thức Cross-Chain Transfer Protocol (CCTP) của Circle dành cho USD Coin (USDC) hoạt động theo cách này. Vì chính Circle phê duyệt việc mint, không tồn tại pool token bị khóa để hacker đánh cắp, nhưng bạn hoàn toàn phải tin tưởng Circle.

Cầu dùng Pool Thanh Khoản như Hop ProtocolAcross Protocol hoạt động khác. Thay vì khóa tài sản và mint bản đại diện, chúng dựa vào các nhà cung cấp thanh khoản (LP) nắm giữ token gốc ở cả hai phía. Người dùng nạp trên chain nguồn, và một LP trên chain đích gửi cho họ lượng token gốc tương đương ngay lập tức. LP sau đó được hoàn trả thông qua giao thức. Cách tiếp cận này nhanh hơn và tránh phải dùng token wrapped, nhưng phụ thuộc vào thanh khoản đủ lớn và đưa thêm rủi ro đối tác đối với LP.

Kiểm chứng Light-Client (Light-Client Verification) là thiết kế tối thiểu hóa niềm tin nhất và cũng khó xây dựng nhất. Ở đây, chain đích chạy bằng chứng mật mã về đồng thuận của chain nguồn ngay bên trong smart contract hoặc mạch ZK. Không cần ủy ban validator bên ngoài, toán học chứng minh giao dịch nạp đã xảy ra. IBC (Inter-Blockchain Communication), tiêu chuẩn cầu được dùng trong hệ sinh thái Cosmos (ATOM), xấp xỉ mô hình này. Các cầu dựa trên ZK như SP1 của SuccinctzkBridge của Polyhedra còn tiến xa hơn bằng cách dùng zero-knowledge proof để xác minh chuyển đổi trạng thái với chi phí rẻ.

Đọc thêm: HIVE Vừa Vay 115 Triệu Đô Lãi Suất 0% Để Đặt Cược Ngược Lại Hoạt Động Đào Bitcoin

Vì Sao Cầu Tập Trung Nhiều Rủi Ro Đến Vậy

Bề mặt tấn công của một cầu khác căn bản so với một blockchain đơn lẻ. Một chain như Ethereum được bảo vệ bởi hàng trăm tỷ đô giá trị ETH stake và hàng trăm nghìn validator. Để phá vỡ, kẻ tấn công phải kiểm soát được một phần lớn tập validator đó cùng lúc — một cuộc tấn công gần như bất khả thi về chi phí.

Tập validator của cầu thường nhỏ hơn rất nhiều. Cầu Ronin, phục vụ game Axie Infinity trên sidechain riêng, chỉ được bảo vệ bởi chín node validator. Hacker chỉ cần kiểm soát năm trong số đó để phê duyệt rút tiền. Nhóm Lazarus, tổ chức hacker do nhà nước Triều Tiên bảo trợ, đã chiếm được năm khóa riêng bằng cách kết hợp phishing và lời mời làm việc giả. Họ đã phê duyệt các lệnh rút tiền gian lận trị giá 625 triệu đô. Bản thân các chain Ethereum và Ronin không hề bị xâm phạm.

Vụ Ronin không phá vỡ một blockchain. Nó phá vỡ một ủy ban validator 9 node khi năm khóa được bảo mật kém. Cầu chính là mắt xích yếu nhất ngay từ thiết kế.

Đây là vấn đề mang tính cấu trúc của các cầu dùng validator bên ngoài. Bảo mật của chúng không thừa hưởng từ các chain được kết nối, mà là một hệ thống riêng, thường nhỏ hơn và ít được thử lửa hơn. Giá trị cầu nắm giữ càng lớn, nó càng hấp dẫn với hacker, nhưng mô hình bảo mật không tự động mở rộng theo lượng tài sản lưu ký.

Vụ khai thác Wormhole tháng 2/2022 khác về cơ chế nhưng tương tự về kết cục. Hacker tìm được một lỗi trong smart contract của Wormhole trên Solana cho phép giả mạo sự kiện “guardian signature verification”. Họ khiến contract tin rằng 120.000 ETH đã được nạp trên Ethereum dù thực tế không có, và mint 320 triệu đô ETH wrapped trên Solana. Không validator nào bị chiếm quyền. Lỗ hổng nằm ngay trong logic contract. Jump Crypto, đơn vị hậu thuẫn Wormhole, đã bù tiền trong vòng 24 giờ, ngăn chặn sụp đổ thị trường nhưng không xóa được lỗi gốc.

Đọc thêm: Người Dùng Polymarket Mất 3,1 Triệu Đô Trong Vụ Tấn Công Giao Diện Khi CFTC Vẫn Đang Điều Tra

Vai Trò Của Validator Và Oracle

Hầu hết các cầu không phải pure light-client đều dựa vào một dạng “người quan sát bên ngoài” nào đó để xác nhận việc nạp tiền đã xảy ra và phê duyệt hành động mint hoặc mở khóa tương ứng.

Những thực thể quan sát này có nhiều tên — validator, relayer, guardian, attestor — nhưng đều cùng một chức năng: quan sát một chain và báo cáo trạng thái sang chain khác.

Câu hỏi về niềm tin luôn là: cần điều gì để khiến các “người quan sát” này nói dối?

Trong mô hình multisig, câu trả lời là “chiếm được đủ số khóa”. Trong mô hình dựa trên oracle, câu trả lời có thể là “thao túng nguồn giá hoặc dữ liệu block oracle báo cáo”. Trong mô hình validator proof-of-stake, câu trả lời là “mua đủ stake để kiểm soát siêu đa số”.

LayerZero sử dụng mô hình trong đó mỗi ứng dụng tự cấu hình tập oracle và relayer cho riêng mình, tạo ra lớp bảo mật theo ứng dụng thay vì một tập validator cầu dùng chung. Điều này chuyển rủi ro từ “một cầu hỏng thì mọi thứ hỏng” sang “mỗi ứng dụng tự gánh rủi ro của mình”, giúp cô lập rủi ro tốt hơn nhưng cũng đặt nhiều trách nhiệm hơn lên nhà phát triển trong việc cấu hình bảo mật đúng cách.

Axelar dùng một mạng proof-of-stake với validator riêng để quan sát các sự kiện cross-chain. Bảo mật của cầu vì thế gắn với giá trị token của chính Axelar được stake bởi validator, tương tự mô hình một blockchain Layer 1 nhưng thu hẹp phạm vi vào nhắn tin cross-chain.

Thách thức căn bản là bạn không thể tự nhiên xác minh trạng thái của một chain “ngoại lai” nếu không chạy full node của chain đó, điều này rất tốn kém. Các cách tiếp cận light-client và ZK giải quyết vấn đề này bằng mật mã. Mọi giải pháp khác đều liên quan đến việc tin tưởng một bên trung gian báo cáo trung thực.

Đọc thêm: Ethereum Có Đang Hướng Về 1.000 Đô Sau Khi Mất Mốc Hỗ Trợ Quan Trọng?

Cách ZK Proof Đang Thay Đổi Bảo Mật Cầu

Zero-knowledge proof là giải pháp dài hạn đầy hứa hẹn nhất cho bài toán niềm tin của cầu. ZK proof cho phép một bên chứng minh cho bên khác rằng một mệnh đề là đúng, chẳng hạn “giao dịch này đã được đưa vào một block đã final trên Ethereum”, mà bên xác minh không cần tự thực hiện lại toàn bộ phép tính.

Ứng dụng vào cầu, điều này có nghĩa là chain đích có thể xác minh một sự kiện trên chain nguồn mà… một cách mật mã, không cần tin tưởng bất kỳ trình xác thực bên ngoài nào. Bản thân bằng chứng chính là sự chứng thực. Một trình xác thực bị xâm phạm không thể giả mạo một bằng chứng ZK hợp lệ. Không có khóa riêng nào để đánh cắp. Tính bảo mật xuất phát từ toán học.

Thách thức thực tế là chi phí tính toán. Việc tạo bằng chứng ZK cho đồng thuận toàn chuỗi (như cơ chế tổng hợp chữ ký BLS trong Proof of Stake của Ethereum với hàng nghìn trình xác thực) đòi hỏi khối lượng tính toán đáng kể, dù chi phí này đã giảm mạnh khi công nghệ tạo bằng chứng ZK trưởng thành. Các đội như Succinct Labs, =nil; FoundationPolyhedra đang xây dựng các hệ thống tạo bằng chứng được tối ưu hóa riêng cho việc xác minh trạng thái blockchain.

TAC, Layer 1 đang thịnh hành trên CoinGecko, áp dụng một cách tiếp cận cụ thể với vấn đề này: nó kết nối hệ sinh thái nhà phát triển EVM của Ethereum với TON (The Open Network) và tập người dùng Telegram, sử dụng mô hình trình xác thực và bằng chứng lai. Các dự án như TAC minh họa nhu cầu thực tế đối với các cầu nối, Telegram có khoảng 950 triệu người dùng hoạt động hàng tháng, và việc kết nối tập người dùng đó với các ứng dụng tương thích Ethereum đòi hỏi đúng loại hạ tầng xuyên chuỗi mà các cầu nối cung cấp.

Sự đánh đổi với các cầu nối ZK ngày nay là độ trễ. Việc tạo bằng chứng cho một khối Ethereum đã được final có thể mất vài phút. Đối với các ứng dụng cần tính final nhanh, các cầu nối lạc quan với khoảng thời gian bằng chứng gian lận vẫn thường được ưu tiên, chấp nhận thời gian rút tiền lâu hơn (thường là 7 ngày trên các optimistic rollup lớn) để đổi lấy sự đơn giản.

Cũng nên đọc: Kỷ Lục Ví Của Chainlink Biến Đợt Hồi Phục Lên 9 USD Của LINK Thành Bài Kiểm Tra Chính

Cầu Nối Gốc So Với Cầu Nối Bên Thứ Ba

Khi bạn chuyển tài sản giữa một Layer 1 và Layer 2 rollup của nó, bạn thường sử dụng một “cầu nối gốc” (native bridge), tức cầu nối được xây dựng và vận hành bởi chính đội ngũ rollup, tích hợp sâu với mô hình bảo mật của rollup đó. Cầu nối gốc của Arbitrum (ARB), cầu nối gốc của Optimism (OP), và cầu nối gốc của zkSync đều thuộc nhóm này.

Cầu nối gốc thừa hưởng phần lớn các đảm bảo bảo mật của chính rollup đó. Trên một optimistic rollup, một giao dịch rút tiền gian lận có thể bị thách thức trong khoảng thời gian 7 ngày của bằng chứng gian lận. Trên một ZK rollup, một giao dịch rút tiền chỉ được final sau khi một bằng chứng ZK hợp lệ cho lô giao dịch được gửi lên Ethereum. Đây là những đảm bảo mạnh mẽ hơn đáng kể so với hầu hết cầu nối bên thứ ba.

Sự đánh đổi là cầu nối gốc chỉ đi một hướng: từ L1 sang L2 và ngược lại. Chúng không thể nối tài sản Ethereum sang Solana, hoặc chuyển tài sản trực tiếp giữa hai L2 riêng biệt. Đối với việc di chuyển xuyên hệ sinh thái, từ Ethereum sang Solana, hoặc từ Arbitrum sang Polygon (POL), người dùng buộc phải dùng các cầu nối bên thứ ba, vốn mang theo các rủi ro về trình xác thực và hợp đồng thông minh như đã mô tả ở trên.

Điều này tạo ra một cách phân loại thực tiễn: dùng cầu nối gốc cho việc di chuyển từ L1 sang L2 khi ưu tiên hàng đầu là bảo mật, và dùng các cầu nối bên thứ ba đã được kiểm toán, có lịch sử hoạt động, cho việc di chuyển xuyên hệ sinh thái khi bạn chấp nhận rủi ro bổ sung. Việc kiểm tra xem một cầu nối đã được kiểm toán bởi công ty bảo mật uy tín nào chưa (Trail of Bits, OpenZeppelin, Certik, Spearbit) và rà soát mọi tiền lệ bị khai thác là bước thẩm định tối thiểu trước khi dùng bất kỳ dịch vụ chuyển tài sản xuyên chuỗi nào.

Cũng nên đọc: Tin Tặc Nga Tìm Thấy Điểm Yếu Của Signal Trong Khóa Khôi Phục

Ai Thực Sự Cần Dùng Cầu Nối

Cầu nối không cần thiết cho phần lớn người dùng crypto thông thường. Nếu bạn nắm giữ Bitcoin (BTC) hoặc Ethereum (ETH) trên một sàn giao dịch tập trung và chỉ muốn tiếp xúc với biến động giá, bạn sẽ không đụng tới cầu nối bao giờ.

Bạn cần cầu nối khi muốn dùng một ứng dụng nằm trên chuỗi khác với nơi tài sản của bạn đang ở. Nếu ETH của bạn nằm trên Ethereum mainnet nhưng bạn muốn dùng một giao thức DeFi trên Arbitrum, bạn dùng cầu nối gốc của Arbitrum. Nếu bạn muốn dùng một ứng dụng gốc Solana với USDC bắt đầu từ Ethereum, bạn dùng một cầu nối bên thứ ba.

Các nhà phát triển xây dựng ứng dụng xuyên chuỗi là những người dùng cầu nối nhiều nhất. Bất kỳ giao thức nào muốn tổng hợp thanh khoản từ nhiều chuỗi, hoặc bất kỳ trò chơi nào muốn cho phép người chơi dùng tài sản trên nhiều mạng khác nhau, đều cần hạ tầng cầu nối được tích hợp ngay trong sản phẩm. Đây là lý do các dự án như LayerZero, Axelar, WormholeHyperlane tự định vị mình là “giao thức nhắn tin omnichain” hơn là chỉ đơn thuần là cầu nối: họ là hạ tầng cho nhà phát triển, không chỉ là công cụ để người dùng cuối chuyển token.

Đối với người dùng thông thường, hướng dẫn thực tế khá đơn giản. Dùng các cầu nối gốc (canonical native bridge) khi di chuyển giữa L1 và một L2 lớn. Với các cầu nối bên thứ ba, hãy giới hạn mức độ phơi nhiễm trong phạm vi bạn chấp nhận mất, kiểm tra lịch sử kiểm toán, và ưu tiên các cầu nối đã vận hành mà không gặp sự cố trong ít nhất một năm với TVL đáng kể. Cách tiếp cận “cầu nối từ từ, với số tiền nhỏ” không phải là nhút nhát, mà phản ánh trung thực hồ sơ rủi ro của công nghệ ở thời điểm hiện tại.

Cũng nên đọc: Claude Fable 5 Có Thể Trở Lại Khi Washington Giảm Căng Thẳng Với Anthropic

Lời Kết

Các cầu nối xuyên chuỗi giải quyết một vấn đề thực tế và không thể tránh khỏi.

Blockchain là các hệ thống độc lập có chủ quyền. Không có cầu nối, crypto sẽ là một tập hợp các silo cô lập nơi tài sản và ứng dụng không bao giờ tương tác với nhau.

Khả năng tương tác mà cầu nối mang lại là nền tảng cho phần lớn DeFi, gaming và hệ sinh thái đa chuỗi mà các dự án như TAC đang tích cực xây dựng.

Các vụ hack không phải là bằng chứng cho thấy cầu nối vốn dĩ là sai hỏng.

Chúng là bằng chứng cho thấy các thiết kế cầu nối giai đoạn đầu đã chấp nhận những đánh đổi bảo mật quá đậm — các ủy ban trình xác thực nhỏ, logic hợp đồng thông minh chưa được kiểm toán, phụ thuộc vào oracle — không tương xứng với giá trị mà chúng dần nắm giữ.

Mỗi vụ khai thác lớn đã đẩy ngành đi tới những thiết kế tốt hơn: tập trình xác thực lớn hơn, kiểm chứng hình thức (formal verification), hệ thống bằng chứng dựa trên ZK, và các cầu nối rollup gốc kế thừa trực tiếp bảo mật L1.

Đọc tiếp: PUMP Tăng 12% Trong Khi Dữ Liệu Giao Thức Cảnh Báo Đợt Hồi Phục Có Thể Mong Manh

Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Thông tin được cung cấp trong bài viết này chỉ dành cho mục đích giáo dục và thông tin, dựa trên ý kiến của tác giả. Nó không cấu thành lời khuyên tài chính, đầu tư, pháp lý hoặc thuế. Tài sản tiền mã hóa có tính biến động cao và chịu rủi ro cao, bao gồm rủi ro mất tất cả hoặc một phần lớn khoản đầu tư của bạn. Giao dịch hoặc nắm giữ tài sản crypto có thể không phù hợp với tất cả nhà đầu tư. Những quan điểm được bày tỏ trong bài viết này hoàn toàn là của (các) tác giả và không đại diện cho chính sách chính thức hoặc lập trường của Yellow, những người sáng lập hoặc giám đốc điều hành. Luôn tiến hành nghiên cứu kỹ lưỡng của riêng bạn (D.Y.O.R.) và tham khảo ý kiến chuyên gia tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
Bài viết học tập liên quan
ZK Rollups vs Optimistic: Tại sao Công nghệ Zero-Knowledge Sẽ Thống Trị Giải Pháp Mở Rộng Blockchain
Công nghệ Zero-Knowledge được dự đoán là giải pháp mở rộng và bảo mật quan trọng nhất của blockchain, giúp xác minh toán học mà không tiết lộ dữ liệu.
Giải thích Layer 2: Vì sao blockchain cần lớp thứ hai và cách nó giải quyết bài toán khả năng mở rộng
Tổng quan Layer 2, cách hoạt động, vì sao cần thiết cho khả năng mở rộng Ethereum và khác biệt với Layer 1, rollup lạc quan và ZK.
Tại sao bằng chứng không tiết lộ (Zero-Knowledge Proof) có thể trở thành công nghệ quan trọng nhất của crypto
Giải thích cách zero-knowledge proof, đặc biệt là zk-SNARKs, cho phép giao dịch riêng tư, mở rộng Layer 2 và ứng dụng danh tính trong Web3.
7 Dự Án Blockchain Hàng Đầu Cách Mạng Hóa Layers 3 vào Năm 2024
Oct 09, 2024
Các công nghệ liên quan đến blockchain không bao giờ ngừng phát triển. Mặc dù chúng ta hầu như không có thời gian để điều chỉnh theo khái niệm của Lay
Rollups Lạc quan vs. ZK-Rollups: Trận chiến cho việc mở rộng lớp 2 của Ethereum
Jan 16, 2025
Hai giải pháp thú vị đã xuất hiện ở tiền tuyến của công nghệ mở rộng Layer 2 khi mạng lưới Ethereum gặp khó khăn về khả năng mở rộng: Optimistic Rollu
Cách Các Cầu Crypto Di Chuyển Hàng Tỷ Đô Và Vì Sao Hacker Liên Tục Tấn Công | Yellow.com