Hợp đồng vay DeFi Venus Protocol đã bị tấn công phức tạp vào ngày 15 tháng 3 năm 2026, gây thiệt hại khoảng 3,7 triệu USD tài sản kỹ thuật số và để lại khoản nợ xấu khoảng 2,18 triệu USD. Kẻ tấn công đã thao túng giá của token có tính thanh khoản thấp $THE, kết hợp các vị thế vay trên chuỗi và các sản phẩm phái sinh ngoài chuỗi để thực hiện arbitrage xuyên nền tảng, một lần nữa phơi bày rủi ro hệ thống của cơ chế thế chấp trong DeFi.
Quá trình tấn công: Bảy bước liên hoàn quét sạch Venus
Theo báo cáo chi tiết của tổ chức phân tích trên chuỗi Lookonchain đăng tải trên X (trước đây là Twitter), cấu trúc của vụ tấn công này rất tinh vi, đồng thời sử dụng các công cụ riêng tư, nhiều hợp đồng vay khác nhau và các sàn giao dịch tập trung, tạo thành các hoạt động xuyên chuỗi khó phát hiện ngay lập tức.
Bước 1: Nguồn vốn Kẻ tấn công sử dụng công cụ riêng tư Tornado Cash để thu về khoảng 7.400 ETH, che giấu nguồn gốc vốn.
Bước 2: Vay stablecoin Gửi ETH vào Aave, vay khoảng 9,92 triệu USD stablecoin làm vốn cho các hoạt động tiếp theo.
Bước 3: Đẩy giá $THE Qua nhiều ví trên các sàn tập trung, mua vào số lượng lớn $THE, đồng thời mở vị thế mua để đẩy giá token lên cao.
Bước 4: Vay dựa trên giá trị thế chấp giả tạo Khi giá token cao giả tạo, hai ví chính gửi khoảng 36,1 triệu $THE vào Venus Protocol, vay khoảng 5,07 triệu USD tài sản, gồm khoảng 20 BTC, 1,516 triệu CAKE và 2.172 BNB.
Bước 5: Bán tháo $THE Sau khi vay thành công, bán tháo số lượng lớn $THE trên các sàn tập trung và mở vị thế short, khiến giá token giảm mạnh.
Bước 6: Kích hoạt thanh lý chuỗi Khi giá trị thế chấp $THE giảm mạnh, Venus kích hoạt thanh lý hàng loạt, khoản vay không thể thu hồi đủ, dẫn đến nợ xấu.
Bước 7: Lợi nhuận ngoài chuỗi Kẻ tấn công thực sự thu lợi từ các vị thế phái sinh mua bán trên các sàn tập trung, lợi nhuận ngoài chuỗi đủ để bù đắp thiệt hại trên chuỗi.
Thành phần nợ xấu và phản ứng của hợp đồng
Sau khi thanh lý, Venus Protocol còn lại khoảng 1,18 triệu CAKE và 1,84 triệu $THE nợ xấu, tổng cộng khoảng 2,18 triệu USD không thể thu hồi. Hợp đồng đã tạm dừng hoạt động vay mượn và rút tiền của thị trường $THE, một số pool liên quan (như pool CAKE) cũng bị ảnh hưởng, đồng thời điều chỉnh hệ số thế chấp của nhiều thị trường thanh khoản thấp như biện pháp phòng ngừa khẩn cấp.
Hiện tại, Venus Protocol chưa phát hành đầy đủ tuyên bố chính thức, nhưng cộng đồng cho biết các vị trí thị trường khác hiện vẫn chưa bị ảnh hưởng. Người dùng được khuyến nghị liên tục theo dõi các kênh chính thức của Venus để cập nhật thông tin mới nhất.
Chiêu thức tấn công này không còn xa lạ
Sự kiện này giống hệt vụ tấn công Mango Markets năm 2022, đều sử dụng thao túng oracle và thiết kế giới hạn cung cấp thế chấp. Cả hai vụ việc đều cho thấy: các hợp đồng cho phép dùng token thanh khoản thấp làm tài sản thế chấp, và giá trị tài sản thế chấp phụ thuộc nhiều vào báo giá từ các sàn giao dịch bên ngoài, rất dễ bị thao túng giá.
Rủi ro cảnh báo: Các nhà phân tích chỉ ra rằng, nếu các hợp đồng vay DeFi không thiết lập giới hạn cung cấp chặt chẽ cho các tài sản thế chấp thanh khoản thấp, hạn chế độ tập trung và sử dụng các oracle độc lập, chúng sẽ tiếp tục dễ bị tấn công tương tự. Sự kiện này một lần nữa nhấn mạnh ngành cần xem xét lại tiêu chuẩn đủ điều kiện của tài sản thế chấp và các tham số rủi ro trong thiết kế hệ thống.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
