Một trader mất 21 triệu USD trên Hyperliquid sau khi bị lộ khóa riêng tư

Một trader trên nền tảng giao dịch phi tập trung Hyperliquid đã mất khoảng 21 triệu USD hôm thứ Năm sau khi khóa riêng (private key) của họ bị lộ, dẫn đến vụ tấn công vào giao thức cho vay Hyperdrive của nền tảng này.

Theo công ty bảo mật blockchain PeckShield, kẻ tấn công đã nhắm vào 17,75 triệu DAI và 3,11 triệu SyrupUSDC — một phiên bản tổng hợp của stablecoin USDC được sử dụng trong Hyperdrive — trước khi chuyển số tiền đánh cắp sang mạng Ethereum.

PeckShield hiện chưa xác định được nguyên nhân khiến khóa riêng bị rò rỉ.

Vụ việc xảy ra trong bối cảnh Hyperliquid đang tăng trưởng mạnh mẽ, thu hút sự chú ý nhờ chương trình phần thưởng tích điểm nhằm khuyến khích thanh khoản và sự tham gia của người dùng. Gần đây, nền tảng này đã hoàn tất đợt airdrop lớn cho hơn 94.000 ví.

#PeckShieldAlert A victim 0x0cdC…E955 lost ~$21M worth of cryptos on #Hyperliquid due to a private key leak.

The hacker has bridged the stolen funds to #Ethereum, including 17.75M $DAI & 3.11M $MSYRUPUSDP. pic.twitter.com/yZUMM6xL5f

— PeckShieldAlert (@PeckShieldAlert) October 10, 2025

Chỉ trong tuần qua, Hyperliquid đã xử lý hơn 3,5 tỷ USD khối lượng giao dịch, theo dữ liệu từ DefiLlama.

Tuy nhiên, khi các sàn giao dịch phi tập trung (DEX) đang hồi sinh mạnh mẽ, vụ việc này một lần nữa đặt ra câu hỏi quen thuộc: Làm sao người dùng có thể bảo vệ tài sản của mình trong hệ sinh thái dựa trên tự quản lý và hợp đồng thông minh?

Cách trader tự bảo vệ mình

Nguyên nhân cụ thể của vụ tấn công vẫn đang được điều tra, nhưng các chuyên gia an ninh mạng nhấn mạnh rằng người dùng DEX cần áp dụng nhiều biện pháp phòng ngừa rủi ro.

Các DEX như Hyperliquid cho phép người dùng toàn quyền kiểm soát tài sản, nhưng đồng nghĩa với việc họ phải tự chịu trách nhiệm hoàn toàn cho việc bảo mật. Các chuyên gia khuyến nghị:

• Duy trì ví nóng (hot wallet) chỉ để giao dịch ngắn hạn và ví lạnh (cold wallet) để lưu trữ dài hạn, giúp phần lớn tài sản luôn ngoại tuyến và tránh các mối đe dọa trực tuyến.

• Chỉ nên giữ một phần nhỏ tài sản trong ví kết nối DEX, nhằm hạn chế thiệt hại khi xảy ra lộ khóa riêng hoặc lỗi hợp đồng thông minh.

• Không bao giờ chia sẻ khóa riêng hoặc cụm từ khôi phục (seed phrase), kể cả khi cài đặt API. Tài liệu chính thức của Hyperliquid cũng cảnh báo rõ: “Không chia sẻ khóa riêng của bạn với bất kỳ ai.”

• Cảnh giác với các trang web giả mạo hoặc tin nhắn hỗ trợ giả trên Telegram và Discord — những chiêu trò phổ biến nhằm đánh cắp thông tin người dùng.

Theo báo cáo của CertiK, trong quý 3 năm 2025, các sàn giao dịch tiền điện tử và giao thức DeFi vẫn là hai mục tiêu tấn công hàng đầu của hacker.

Sau vụ việc, sàn MEXC cũng khuyến cáo người dùng kiểm tra lại vị thế và quyền truy cập (approvals) thông qua các trình khám phá blockchain, vì nhiều vụ khai thác bắt nguồn từ việc người dùng cấp quyền truy cập quá mức cho hợp đồng DeFi.

Các chuyên gia bảo mật gợi ý thường xuyên rà soát và thu hồi quyền truy cập không cần thiết, bằng các công cụ như Token Approvals của Etherscan hoặc các nền tảng quản lý on-chain tương tự.

• Hyperliquid (HYPE) vẫn là Perpetual DEX đáng đầu tư nhất
• Aster dẫn đầu perpetual DEXs với khối lượng 41,78 tỷ USD, Hyperliquid vượt trội về hợp đồng mở

Vương Tiễn