Rewards Hub 
Vào ngày 21 tháng 2 năm 2026, một tin tặc đã kiểm soát hoàn toàn cầu nối ioTube cross-chain của IoTeX trên Ethereum thông qua việc chiếm đoạt khoá riêng tư. Trong vòng vài giờ, khoảng $4,3 triệu USD token đã bị rút khỏi hợp đồng TokenSafe, bao gồm USDC, USDT, IOTX, WBTC và BUSD. Kẻ tấn công còn phát hành thêm 111 triệu token CIOTX (ước tính trị giá 4 triệu USD) và 9,3 triệu token CCS (4,5 triệu USD), nâng tổng thiệt hại độc lập do PeckShield ước tính vượt quá 8 triệu USD.
Con số mà IoTeX công bố là 4,3 triệu USD bị mất trực tiếp. Dù theo cách nào, số tiền bị đánh cắp đã được chuyển đổi sang ETH qua Uniswap và cầu sang Bitcoin thông qua THORChain trước khi có thể bị đóng băng. Giá IOTX giảm 22%, từ $0,0054 xuống dưới $0,0042, rồi hồi phục nhẹ.
Điều Gì Đã Xảy Ra Với Cầu ioTube của IoTeX?
ioTube là hạ tầng cross-chain do IoTeX phát triển, cho phép di chuyển token giữa chuỗi Layer 1 của họ và các mạng như Ethereum, Binance Smart Chain, Base. Kẻ tấn công không khai thác lỗi hợp đồng thông minh mà đã chiếm quyền kiểm soát khoá riêng tư của validator trên Ethereum, qua đó kiểm soát hai hợp đồng: MintPool (tạo wrapped token) và TokenSafe (giữ tài sản khoá).
Với khoá này, kẻ tấn công vừa có thể rút tài sản thật vừa phát hành token wrapped mới. Sự việc diễn ra từ 7h-9h UTC ngày 21/2. Nhà phân tích on-chain Specter đã phát hiện giao dịch bất thường lúc 4h20 EST, khoảng 3 giờ trước khi IoTeX xác nhận công khai trên X.
Validator mạng và cộng đồng đã phối hợp tạm dừng cầu ioTube ngay khi nhận diện sự cố, ngăn chặn tổn thất thêm. IoTeX sau đó tạm dừng toàn bộ chuỗi Layer 1 để đóng băng địa chỉ của kẻ tấn công trên cấp độ mạng. Chuỗi dự kiến sẽ hoạt động lại sau 24-48h khi hoàn thành nâng cấp bảo mật và cập nhật mainnet để tự động đưa địa chỉ xấu vào blacklist.
Đồng sáng lập & CEO IoTeX, Raullen Chai, xác nhận sự cố chỉ ảnh hưởng đến hạ tầng cầu nối phía Ethereum. Chuỗi Layer 1, cơ chế đồng thuận Roll-DPoS và các hợp đồng thông minh gốc không bị ảnh hưởng. Các cầu nối đến BSC, Base và mạng khác vẫn hoạt động bình thường.
Cách Kẻ Tấn Công Tẩy Rửa Số Tiền
Kịch bản tẩy rửa quen thuộc trong các vụ tấn công DeFi năm 2025-2026: token đánh cắp được chuyển thành ETH qua Uniswap, gộp về một số ví, rồi cầu sang Bitcoin thông qua THORChain, một giao thức thanh khoản cross-chain phi tập trung không KYC.
IoTeX xác định bốn ví Bitcoin giữ khoảng 66,6 BTC (khoảng 4,3 triệu USD) tính đến ngày 23/2. CoinDesk đã xác nhận số dư này. Tuy nhiên, như CEO ORQO Group nhận định, khi tài sản đã chuyển qua THORChain thì việc thu hồi cực kỳ khó khăn vì không có đơn vị trung tâm nào có thể đóng băng giao dịch.
Đây không phải thủ đoạn mới. THORChain đã trở thành tuyến đường ưa thích để tẩy rửa với các nhóm tin tặc tinh vi nhờ khả năng kết nối chuỗi UTXO (như Bitcoin) và chuỗi tài khoản (như Ethereum) mà không qua trung gian. Hình thức này từng xuất hiện trong vụ hack ví năm 2023 do ZachXBT theo dõi.
Đặc biệt, các nhà phân tích on-chain đã liên hệ ví nguồn của kẻ tấn công với vụ tấn công nền tảng Infini stablecoin trị giá 49 triệu USD tháng 2/2025, trong đó một lập trình viên cũ giữ quyền admin và thực hiện rút tiền trễ. Hai vụ này đều có điểm chung: truy cập khoá nội bộ, lạm dụng quyền hợp đồng và tẩy rửa cross-chain qua THORChain. Raullen Chai cho biết đội ngũ IoTeX có bằng chứng cho thấy vụ tấn công được lên kế hoạch trước đó từ 6-18 tháng.
Đề Nghị Thưởng 10%: Đàm Phán Trong Thế Giới Crypto
Hai ngày sau sự cố, IoTeX gửi tin nhắn on-chain cho kẻ tấn công, đề nghị thưởng trắng 10% (khoảng 440.000 USD) nếu trả lại phần còn lại trong vòng 48 giờ. Đồng thời cam kết không kiện tụng hoặc chia sẻ thông tin với cơ quan chức năng nếu được hợp tác.
Đây là biện pháp khủng hoảng phổ biến trong DeFi: dự án xác định ví của kẻ tấn công, công khai đề nghị thưởng trên on-chain (cách duy nhất để tiếp cận hacker ẩn danh) và đặt thời hạn. Nếu hacker trả lại tài sản, họ giữ khoản thưởng; nếu không, dự án sẽ chuyển sang phối hợp với cơ quan chức năng và các sàn để phong tỏa tài sản tiếp xúc với hệ thống tập trung.
Tỷ lệ thành công không cao nhưng hiệu quả hơn không làm gì.
| Hack | Số tiền bị đánh cắp | Thưởng đề nghị | Kết quả |
|---|---|---|---|
| Euler Finance (3/2023) | 197 triệu USD | 10% + 1 triệu USD cho thông tin | Đàm phán nhiều tuần, thu hồi toàn bộ |
| Poly Network (8/2021) | 612 triệu USD | Danh hiệu "Mr. White Hat" | Trả lại toàn bộ (hacker nói chỉ làm cho vui) |
| Sentiment Protocol (4/2023) | 1 triệu USD | 95.000 USD (10%) | 90% hoàn trả trong 2 ngày |
| KyberSwap (11/2023) | 46 triệu USD | 10% (4,6 triệu USD) | Hacker đòi quyền kiểm soát giao thức, thất bại |
| IoTeX (2/2026) | 4,3 triệu USD | 10% (440.000 USD) | Đang chờ kết quả |
Trường hợp Euler Finance là ví dụ điển hình: sau khi bị hack 197 triệu USD tháng 3/2023, dự án đề nghị thưởng 10%. Hacker chuyển 1,78 triệu USD sang Tornado Cash rồi ngừng phản hồi. Euler sau đó treo thưởng 1 triệu USD cho ai cung cấp thông tin dẫn tới bắt giữ hacker. Kết hợp với áp lực pháp lý và khó khăn khi rửa số tiền lớn, cuối cùng hacker hoàn trả toàn bộ.
KyberSwap là ví dụ đối lập: hacker không chỉ từ chối đề nghị 10% mà còn đòi quyền kiểm soát hoàn toàn giao thức, công ty và tài sản. Đàm phán thất bại.
Vì Sao Các Vụ Hack Khoá Riêng Tư Vẫn Tiếp Diễn?
Điều đáng lưu ý ở vụ IoTeX là các hợp đồng thông minh đều vận hành đúng thiết kế. Tất cả audit có thể đã đạt tiêu chuẩn. Điểm yếu nằm ở con người, không phải kỹ thuật.
Các vụ lộ khoá riêng tư chiếm tới 88% số tiền bị đánh cắp quý 1/2025 và xu hướng tiếp diễn sang 2026. Ngành công nghiệp đã đầu tư hàng tỷ USD cho kiểm toán hợp đồng, trong khi tin tặc lại "mở cửa trước".
Mô hình này lặp lại ở các vụ hack cầu nối lớn:
| Bridge | Năm | Thiệt hại | Nguyên nhân |
|---|---|---|---|
| Ronin (Axie Infinity) | 2022 | 624 triệu USD | 5/9 validator mất khoá riêng tư |
| Wormhole | 2022 | 326 triệu USD | Lỗi xác thực chữ ký (code) |
| BNB Bridge | 2022 | 568 triệu USD | Lỗi xác thực (code) |
| Nomad | 2022 | 190 triệu USD | Lỗi root trusted (code) |
| Flow blockchain | 12/2025 | 3,9 triệu USD | Lộ khoá riêng tư |
| CrossCurve | 2/2026 | 3 triệu USD | Thiếu kiểm tra xác thực |
| IoTeX (ioTube) | 2/2026 | 4,3 triệu USD+ | Lộ khoá validator |
Ronin là ví dụ điển hình: Sky Mavis kiểm soát 4/9 validator của cầu nối, quyền truy cập cũ chưa bị thu hồi đã giúp kẻ tấn công (được cho là nhóm Lazarus của Triều Tiên) có đủ khoá để rút tiền trái phép. Sự việc không ai phát hiện trong 6 ngày.
IoTeX phát hiện sự cố trong vòng vài giờ – một bước tiến rõ rệt. Tuy nhiên, tốc độ phát hiện không thể ngăn chặn việc khoá riêng bị chiếm dụng đồng nghĩa với quyền truy cập tức thời tài sản. Như Mitchell Amador (Immunefi) nói: khi code ngày càng an toàn, điểm yếu năm 2026 lại là con người.
Toàn Cảnh Rủi Ro Cross-Chain
Các vụ hack cầu nối đã gây tổn thất hơn $2,8 tỷ USD từ 2022, biến cầu nối thành bề mặt tấn công nguy hiểm nhất xét về giá trị. Riêng tháng 1/2026, gần 400 triệu USD tài sản crypto bị đánh cắp, phần lớn đến từ bridge.
Vấn đề cốt lõi nằm ở kiến trúc: cầu nối tập trung giá trị lớn trong số ít hợp đồng, kiểm soát bởi rất ít khoá. Điều này hấp dẫn các nhóm tấn công chuyên nghiệp, kể cả nhóm do nhà nước tài trợ, sẵn sàng lên kế hoạch nhiều tháng hoặc nhiều năm.
Tỷ lệ thu hồi rất thấp: năm 2025, trung bình chỉ 4,6% tài sản bị trả lại thông qua đàm phán, 13% bị đóng băng nhanh, còn lại 53,6% vẫn nằm yên trong ví chờ thời.
Một số hướng khắc phục đang nổi lên:
- Xác thực client native (Succinct, Polymer) loại bỏ hoàn toàn giả định tin tưởng validator bằng chứng zero-knowledge.
- Multi-signature và luân chuyển khoá hạn chế rủi ro khi một khoá bị lộ.
- Module bảo mật phần cứng cho validator làm tăng độ khó trích xuất khoá từ xa.
- Giới hạn rate rút, kể cả cho địa chỉ quyền cao, có thể đã giảm tổn thất của IoTeX nếu áp dụng.
Các giải pháp này đã triển khai ở nhiều cầu nối, nhưng nhiều dự án, kể cả IoTeX, vẫn chưa áp dụng.
Diễn Biến Giá IOTX
IOTX giao dịch quanh $0,0054 trước khi sự cố xảy ra và giảm còn $0,0042 sau khi bị công khai, tức giảm khoảng 22%. Đến 24/2, IOTX ổn định ở mức $0,0045 với vốn hóa khoảng 43 triệu USD theo CoinMarketCap.
Khối lượng giao dịch tăng vọt trên 500% trong 24 giờ sau vụ hack, vượt 17 triệu USD khi lực bán hoảng loạn và lực mua cơ hội đối đầu. Sàn Upbit của Hàn Quốc đã đưa IOTX vào danh sách cảnh báo giao dịch và tạm dừng nạp/rút. Binance cũng tạm dừng giao dịch liên quan đến IoTeX.
Đỉnh giá mọi thời đại của IOTX ở $0,26 (11/2021), hiện thấp hơn 98%. Trước sự cố, giá IOTX đã giảm liên tục do xu hướng chung của altcoin midcap. Sự cố chỉ đẩy nhanh xu hướng giảm sẵn có.
IoTeX cho biết sẽ công bố kế hoạch bồi thường cho người dùng trong vòng 48h. Phần lớn CIOTX và CCS đã phát hành đã bị đóng băng hoặc đang thu hồi, giúp hạn chế tác động dài hạn lên thị trường.
Ý Nghĩa Đối Với Nhà Giao Dịch
Ba bài học thực tế từ vụ hack IoTeX:
Rủi ro cầu nối là rủi ro của giao thức. Nếu bạn nắm giữ wrapped token (CIOTX, wETH, wBTC qua cầu nối bên thứ ba), rủi ro không chỉ đến từ tài sản gốc mà còn từ bảo mật vận hành của cầu nối. Một vụ hack có thể khiến token wrapped mất giá trị dù tài sản gốc vẫn an toàn. Xem xét kỹ xem bạn có thực sự cần sử dụng cầu nối hay có giải pháp native thay thế không.
Theo dõi thời hạn bounty. IoTeX đặt thời hạn 48h kể từ đề nghị thưởng, tạo động lực ngắn hạn. Nếu hacker hoàn trả, có thể tạo biến động giá tích cực. Nếu hết hạn mà không có phản hồi, IoTeX sẽ chuyển sang giải pháp pháp lý và bounty thông tin, tương tự Euler. Thời điểm mở lại chain và kế hoạch bồi thường cũng sẽ ảnh hưởng đến giá.
Hack khoá riêng là xu hướng mới. Kiểm toán hợp đồng thông minh đã cải thiện rõ rệt. Tuy nhiên, lỗi vận hành và bảo mật khoá riêng vẫn là nguyên nhân chính các vụ hack cầu nối lớn. Trước khi tương tác cầu nối, hãy kiểm tra dự án có multi-signature, lưu khoá validator bằng phần cứng, giới hạn rate cho thao tác đặc quyền chưa. Cầu ioTube đã dựa vào một khoá validator duy nhất cho toàn bộ hợp đồng phía Ethereum, tạo điểm yếu bị khai thác.
Câu Hỏi Thường Gặp
IoTeX có phải lừa đảo sau vụ hack này không?
Không. IoTeX là dự án chính thức thành lập từ 2017, hợp tác với Google, Samsung, ARM và tích hợp với Polygon. Vụ hack chỉ ảnh hưởng hạ tầng cầu nối, không phải chuỗi Layer 1. Tuy nhiên, việc mất 4,3 triệu USD do lỗi khoá riêng đặt ra câu hỏi về thực hành bảo mật của đội ngũ, đặc biệt khi có dấu hiệu chuẩn bị trước nhiều tháng.
Hacker có trả lại tài sản không?
Khó dự đoán. Ví liên quan đến vụ Infini 49 triệu USD năm 2025 cho thấy đây là nhóm tổ chức tinh vi, khả năng đàm phán thấp hơn. Tài sản đã đi qua THORChain sang Bitcoin nên việc thu hồi qua pháp lý gần như bất khả thi.
IoTeX thực sự mất bao nhiêu?
IoTeX công bố khoảng 4,3 triệu USD tài sản gốc bị rút. PeckShield ước tính hơn 8 triệu USD tính cả token mint mới. Ban đầu IoTeX báo lỗ 2 triệu USD rồi điều chỉnh tăng. Token mint mới mà bị đóng băng có thể không tính là mất vĩnh viễn.
Cầu nối cross-chain có an toàn không?
Đây là hạ tầng rủi ro nhất về giá trị bị đánh cắp. Hơn 2,8 tỷ USD bị hack từ 2022. Nếu dùng cầu nối, nên giảm thời gian và giá trị tiếp xúc, ưu tiên dùng cầu với validator phân tán hoặc xác thực ZK, và không để token wrapped nhàn rỗi lâu.
Kết Luận
Vụ hack IoTeX là minh chứng cho sự dịch chuyển rủi ro từ code sang quản lý khoá. Hợp đồng thông minh vận hành đúng, kiểm toán đầy đủ nhưng chỉ một khoá validator bị lộ cũng làm tổn thất hàng triệu USD của hàng nghìn người dùng.
Đề nghị bounty 10% của IoTeX từng thành công (Euler, Sentiment), cũng từng thất bại (KyberSwap). Kết quả phụ thuộc vào đối tượng tấn công: nếu là nhóm tổ chức chuyên nghiệp với hệ thống tẩy rửa hoàn chỉnh, khả năng hợp tác thấp. Nếu là cá nhân "lỡ tay", có thể sẽ chọn nhận bounty.
Bài học rộng hơn: cầu nối cross-chain tập trung giá trị nên trở thành mục tiêu của các nhóm tin tặc tinh vi, kể cả do nhà nước tài trợ. Đến khi ngành chuyển sang kiểm chứng trustless (ZK proof, light client native) thay vì mô hình validator key, mọi cầu nối có TVL đủ lớn đều sẽ là mục tiêu. Câu hỏi không phải là "liệu có xảy ra sự cố tiếp theo?" mà là "cầu nào sẽ bị, đội ngũ xử lý ra sao?"
Disclaimer: Bài viết chỉ nhằm mục đích thông tin, không phải lời khuyên tài chính. Đầu tư tiền điện tử tiềm ẩn rủi ro lớn. Tự nghiên cứu trước khi quyết định đầu tư.
