Tổ chức an ninh trên chuỗi Blockaid đã phát hiện vào ngày 20/5 rằng Butter Bridge V3.1, một thành phần cầu xuyên chuỗi thuộc MAP Protocol, đã bị tấn công trên Ethereum và BSC. Kẻ tấn công đã lợi dụng lỗ hổng thiết kế trong hợp đồng thông minh, khiến hợp đồng cầu tự đúc trái phép khoảng 1,000 nghìn tỷ MAPO vào một địa chỉ mới được tạo, tương đương khoảng 4,8 triệu lần so với lượng lưu thông hợp pháp là 208 triệu MAPO.
Cơ chế tấn công: lỗ hổng thiết kế hợp đồng thông minh trong quy trình xác thực tin nhắn thử lại
Blockaid xác nhận, nguyên nhân gốc của vụ tấn công lần này là lỗ hổng thiết kế hợp đồng thông minh trong logic thử lại xác thực tin nhắn của Butter Bridge V3.1, thuộc nhóm vấn đề ở tầng hiện thực hợp đồng, chứ không phải việc hệ thống giao thức nền tảng của MAP Protocol bị lỗi. Bằng cách dẫn dắt hợp đồng thực thi theo đường dẫn xác thực sai, kẻ tấn công đã khiến hợp đồng cầu bỏ qua việc kiểm tra bằng chứng xuyên chuỗi hợp lệ, trực tiếp đúc token trên chuỗi Ethereum tới một địa chỉ EOA mới được tạo.
Về mặt kỹ thuật, cầu xuyên chuỗi cần đồng thời xác minh các tin nhắn đến từ hai blockchain độc lập, mỗi chuỗi có cơ chế đồng thuận, mô hình bảo mật và quy tắc xác nhận cuối cùng riêng. Thiết kế của MAP Protocol sử dụng mô hình ngang hàng và xác thực phía máy khách nhẹ, về lý thuyết có bề mặt tấn công nhỏ hơn so với phương án dựa vào bên xác thực thứ ba đáng tin, nhưng sự kiện lần này lại cho thấy lỗ hổng trong logic thử lại của hợp đồng là một điểm có thể khai thác. Butter Network xác nhận rằng việc vá lỗi, kiểm toán và triển khai lại đang được tiến hành.
Quy mô thiệt hại và phản ứng thị trường của MAPO: số liệu đã được xác nhận
Kẻ tấn công đã rút tiền (cash out): 52,21 ETH (khoảng 180 nghìn đô la Mỹ), từ pool thanh khoản Uniswap V4 ETH/MAPO
Vị thế nắm giữ còn lại của kẻ tấn công: khoảng 9,999,99 tỷ MAPO, vẫn nằm trong ví của kẻ tấn công, tạo rủi ro liên tục đối với mọi pool thanh khoản liên quan đến MAPO và các sàn CEX có niêm yết
Tác động đến giá MAPO: sau khi bán tháo, mức giảm trong 1 ngày khoảng 30%
Tổng lượng đúc trái phép: khoảng 1,000 nghìn tỷ token, gấp 4,8 triệu lần lượng lưu thông hợp pháp (208 triệu token)
Tổng thiệt hại tích lũy do tấn công cầu xuyên chuỗi năm 2026 (tính đến giữa tháng 5): hơn 328,6 triệu đô la Mỹ
Các biện pháp ứng phó được MAP Protocol và Butter Network xác nhận
Tuyên bố chính thức của MAP Protocol xác nhận các biện pháp hạn chế đã được thực hiện như sau: việc nối cầu giữa MAPO ERC-20 và MAPO mainnet đã tạm dừng; cảnh báo người dùng hiện không nên giao dịch token MAPO ERC-20 trên Uniswap, trong thời gian triển khai biện pháp giảm thiểu sự cố thì các pool thanh khoản vẫn tồn tại rủi ro; nhóm đang phối hợp với các đối tác bảo mật bên ngoài để điều tra.
Tuyên bố chính thức của Butter Network xác nhận: ButterSwap đã tạm dừng toàn bộ hoạt động; công việc vá lỗi, kiểm toán và triển khai lại đang được tiến hành; các giao dịch đang chờ sẽ được xử lý sau khi hệ thống khôi phục an toàn; tiền của người dùng không bị tổn thất trực tiếp, mọi giao dịch bị ảnh hưởng sẽ được xử lý đầy đủ sau khi hệ thống khôi phục.
Câu hỏi thường gặp
Vụ tấn công này có phải là lỗ hổng ở tầng kiến trúc giao thức nền tảng của MAP Protocol không?
Blockaid xác nhận, lỗ hổng lần này thuộc về vấn đề thiết kế hợp đồng thông minh của Butter Bridge V3.1, cụ thể xảy ra trong quy trình xác thực tin nhắn thử lại; đây là lỗ hổng ở tầng hiện thực hợp đồng, không phải sự thất bại căn bản của mô hình xác thực phía máy khách nhẹ hoặc kiến trúc ngang hàng nền tảng của MAP Protocol. Hiện Butter Network đang tiến hành vá và kiểm toán lại thành phần này.
Vì sao lượng nắm giữ khoảng 9,999 tỷ MAPO còn lại của kẻ tấn công lại tạo rủi ro liên tục?
Kẻ tấn công vẫn nắm giữ khoảng 9,999,99 tỷ MAPO được đúc trái phép trong ví, vượt xa hàng nghìn lần so với lượng lưu thông hợp pháp (208 triệu MAPO). Nếu kẻ tấn công lựa chọn đưa các token này vào bất kỳ pool thanh khoản MAPO nào hoặc gửi yêu cầu niêm yết lên sàn giao dịch tập trung, điều đó sẽ tác động rất lớn đến giá và thanh khoản thị trường MAPO. Thông báo của Blockaid nêu rõ rằng lượng nắm giữ này “tạo rủi ro liên tục đối với mọi pool MAPO hoặc việc niêm yết trên CEX”.
Vì sao cầu xuyên chuỗi tiếp tục trở thành mục tiêu tấn công rủi ro cao trong hệ sinh thái DeFi?
Về kiến trúc kỹ thuật, cầu xuyên chuỗi cần xử lý đồng thời các tin nhắn đến từ hai blockchain độc lập, trong đó mỗi chuỗi có cơ chế đồng thuận, mô hình bảo mật và quy tắc xác nhận cuối cùng khác nhau. Hợp đồng cầu thường khóa một lượng lớn tài sản trên một chuỗi và đúc token tương ứng trên chuỗi còn lại. Nếu logic cầu có lỗ hổng, kẻ tấn công có thể chiếm đoạt tài sản đã khóa hoặc đúc token mà không cần sự hậu thuẫn bằng vốn. Các ví dụ lịch sử gồm việc Nomad Bridge bị đánh cắp hơn 186 triệu đô la Mỹ vào năm 2022 (lỗi xác thực danh tính), các cuộc tấn công Ronin Bridge và Wormhole; tính đến năm 2026, tổng thiệt hại do các kiểu tấn công này đã vượt quá 328,6 triệu đô la Mỹ.
