Venus Protocol bị tấn công "bom thanh lý": Hacker giả mạo hoạt động bình thường 9 tháng, tạo ra khoản nợ xấu 2,15 triệu đô la

Hợp đồng cho vay BNB Chain Venus Protocol đã xảy ra một cuộc tấn công có chủ đích dựa trên lỗ hổng giới hạn cung cấp vào ngày 16 tháng 3. Hacker đã mất 9 tháng từ từ xây dựng vị thế, thao túng giá trị của token THE rồi kích hoạt chuỗi các cuộc thanh lý, cuối cùng rút về khoảng 5,07 triệu USD tài sản và để lại khoản nợ xấu trị giá 2,15 triệu USD.
(Trước đó: Hacker BNB gần 200 triệu USD sắp bị thanh lý, Venus: Chính thức “tiếp quản vị thế” của BNB Chain)
(Bổ sung nền tảng: Nghiên cứu｜Các mô hình tấn công phổ biến nhất trong DeFi: thao túng giá token, lỗi oracle, thanh lý đòn bẩy)

Mục lục bài viết

Chuyển đổi

• Dòng thời gian tấn công: 9 tháng âm thầm, 40 phút thu hoạch
• Kết quả chiến thắng: rút 5,07 triệu USD, nợ xấu 2,15 triệu USD
• Phản ứng khẩn cấp của Venus: 7 thị trường giảm tỷ lệ thế chấp về 0

Ngày 16 tháng 3, hợp đồng cho vay hàng đầu của BNB Chain là Venus Protocol đã bị tấn công tinh vi kéo dài 9 tháng. Sau khi hacker lấy tiền qua Tornado Cash, thao túng giá của THE (token gốc của Thena) với thị trường thanh khoản thấp, kích hoạt chuỗi các cuộc thanh lý, gây ra khoản nợ xấu khoảng 2,15 triệu USD cho hợp đồng, trong khi hacker đã rút ra khoảng 5,07 triệu USD tài sản, lợi nhuận thực tế có thể còn cao hơn.

Dòng thời gian tấn công: 9 tháng âm thầm, 40 phút thu hoạch

Một địa chỉ ví nhận 7.447 ETH (khoảng 16,29 triệu USD) từ Tornado Cash, mang tên “0x7a7”, đã bị các nhà nghiên cứu blockchain xác định là thủ phạm đứng sau.

Tấn công diễn ra theo hai giai đoạn:

2. Âm thầm dài hạn (bắt đầu từ tháng 6 năm 2025): Kẻ tấn công qua các khoản gửi tiền bình thường, từ từ tích lũy token THE trong Venus, cuối cùng nắm giữ khoảng 84% giới hạn cung cấp của hợp đồng (khoảng 12,2 triệu token).
3. Ngày chính thức kích hoạt (khoảng 40 phút): Kẻ tấn công dùng ETH làm tài sản thế chấp trên Aave, vay 992.000 USD stablecoin, sau đó tích trữ THE trên các sàn tập trung, có khả năng đẩy giá spot lên cao; đồng thời chuyển trực tiếp 36,1 triệu token THE vào hợp đồng của hợp đồng, ngay lập tức đẩy lượng cung trên chuỗi tăng vọt.

Tiếp theo, kích hoạt vòng lặp đệ quy: gửi THE vào hợp đồng → vay các tài sản khác → dùng các tài sản vay được để tiếp tục mua THE trên chuỗi → chờ oracle TWAP cập nhật chậm, đẩy giá theo chiều hướng tăng thụ động → lặp lại.

Trong quá trình này, giá spot của THE đã tăng từ 0,263 USD lên 0,563 USD, tăng hơn gấp đôi. Khoảng 40 phút sau, giá sụt giảm về 0,22 USD, kích hoạt chuỗi các cuộc thanh lý.

Kết quả chiến thắng: rút 5,07 triệu USD, nợ xấu 2,15 triệu USD

Kẻ tấn công cuối cùng đã vay và rút ra các khoản:

• 2.172 token BNB
• 151.600 token CAKE
• 20 BTC

Do đó, Venus phải gánh khoản nợ xấu gồm khoảng 118.000 token CAKE và 184.000 token THE, tổng trị giá khoảng 2,15 triệu USD. Các nhà nghiên cứu blockchain chỉ ra rằng, vị thế short THE của hacker trên các sàn tập trung có thể mang lại lợi nhuận bổ sung, lợi nhuận thực tế có thể còn cao hơn nhiều so với số tiền rút ra trên chuỗi.

Chiến thuật tấn công này thuộc dạng đã biết gọi là “supply cap donation attack” — theo CoinTelegraph, đây là một lỗ hổng đã biết cho phép vượt qua giới hạn cung cấp của các hợp đồng fork của Compound. Vì Venus là nhánh của Compound, nên rõ ràng cũng tồn tại lỗ hổng này.

Phản ứng khẩn cấp của Venus: 7 thị trường giảm tỷ lệ thế chấp về 0

“Venus luôn cam kết minh bạch, sau khi điều tra xong sẽ phát hành báo cáo đầy đủ.” — Chính thức từ Venus Protocol

Venus cho biết, ngoài việc tạm dừng cho vay và rút THE trước đó, hiện tại đã giảm tỷ lệ thế chấp (Collateral Factor) của 7 thị trường xuống 0 để phòng ngừa rủi ro do các thị trường có tỷ lệ nắm giữ tài sản thế chấp quá cao:

• BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD

Hợp đồng nhấn mạnh rằng, tất cả các thị trường còn lại ngoài 7 thị trường này vẫn hoạt động bình thường, không bị ảnh hưởng. Báo cáo đầy đủ sẽ được công bố sau khi điều tra kết thúc.

Sự kiện này một lần nữa phơi bày các rủi ro mang tính cấu trúc của các hợp đồng vay DeFi, đặc biệt khi kết hợp token thanh khoản thấp và oracle TWAP bị trì hoãn — khi hacker có đủ thời gian và vốn để từ từ xây dựng vị thế, các cơ chế giới hạn cung cấp truyền thống trở nên vô dụng.