Tấn công Flash Loan của Makina Protocol: Khi tốc độ gặp lỗ hổng

Ngành DeFi tiếp tục đối mặt với cơn ác mộng lặp đi lặp lại: các giao thức trở thành nạn nhân của các cuộc khai thác tinh vi khiến hàng triệu đô la bị rút sạch trong vòng vài phút. Đầu năm 2025, giao thức Makina trở thành nạn nhân mới nhất khi các hacker thực hiện một cuộc tấn công dựa trên flash loan vào pool DUSD/USDC của nó, gây thiệt hại khoảng 5 triệu đô la. Cuộc điều tra của công ty an ninh CertiK cho thấy một cuộc tấn công, dù gây hậu quả nghiêm trọng ngay lập tức, nhưng kể một câu chuyện quen thuộc về những khoảng trống liên tục trong hạ tầng bảo mật của DeFi.

Khoảng trống 5 triệu đô la sau các tiêu đề

Vụ việc của Makina không chỉ đơn thuần là một thống kê hack khác. Vào thời điểm tấn công, giao thức này có tổng giá trị bị khóa (TVL) khoảng 100,49 triệu đô la, nghĩa là khoản thiệt hại 5 triệu đô la chiếm một phần lớn trong một pool cụ thể. Ảnh hưởng lan rộng nhanh chóng—thông báo của giao thức yêu cầu các nhà cung cấp thanh khoản rút ngay số còn lại đã gây báo động trong toàn hệ sinh thái.

Điều đặc biệt đáng chú ý của vụ việc này là thời điểm và mức độ tinh vi. Kẻ tấn công không brute force để xâm nhập; thay vào đó, họ thực hiện một chiến lược tính toán, gồm nhiều bước, khai thác các mẫu tấn công DeFi đã biết. Việc bị tấn công đã thúc đẩy đội ngũ Makina kêu gọi người dùng rút thanh khoản ngay lập tức, một hành động thường dẫn đến sự sụt giảm mạnh hơn trong tổng TVL khi niềm tin bị xói mòn.

Flash Loans như một con dao hai lưỡi trong DeFi

Flash loans chiếm vị trí hấp dẫn trong bối cảnh DeFi. Những khoản vay không thế chấp này, bắt buộc phải vay và hoàn trả trong một giao dịch blockchain duy nhất, ban đầu được thiết kế như các công cụ tài chính sáng tạo—cho phép các chiến lược phức tạp và hoạt động đòi hỏi vốn lớn mà không cần đặt cọc trước. Chúng là một đổi mới hợp pháp.

Tuy nhiên, vụ Makina cho thấy cách flash loans trở thành vũ khí của kẻ tấn công. Kẻ tấn công vay được một lượng lớn vốn flash loan, dùng nó để làm loạn thị trường và làm sai lệch các feed giá, rồi thu lợi nhuận—trước khi hoàn trả khoản vay. Khả năng truy cập ngay lập tức vào lượng vốn khổng lồ này tạo ra một bề mặt tấn công đặc biệt mà tài chính truyền thống chưa từng phải đối mặt.

Điều này phân biệt rõ ràng: chính flash loans là trung tính. Vấn đề không nằm ở cơ chế cho vay mà ở cách các giao thức tương tác với các nguồn dữ liệu bên ngoài khi thị trường trở nên thù địch. Đây chính là nơi xuất hiện lỗ hổng thực sự.

Thao túng Oracle: điểm yếu chí tử của DeFi

Ẩn sau cuộc tấn công bằng flash loan là một điểm yếu còn căn bản hơn: thiết kế oracle. Oracle hoạt động như cầu nối giữa blockchain và dữ liệu bên ngoài—cung cấp cho hợp đồng thông minh các thông tin thực tế như giá tiền điện tử. Khi một giao thức dựa vào một oracle duy nhất hoặc một hệ thống oracle kém thiết kế, nó tạo ra một điểm thất bại quan trọng.

Vụ tấn công của Makina chính xác tập trung vào điểm yếu này. Kẻ tấn công đã thao túng oracle giá điều khiển pool DUSD/USDC, tạo ra các sai lệch tạm thời về giá. Với dữ liệu giá giả mạo tràn vào giao thức, kẻ tấn công đã rút sạch tài sản bằng cách khai thác sự chênh lệch này.

Các chuyên gia an ninh đã lâu khuyến nghị các biện pháp đối phó cụ thể:

• Mạng lưới Oracle phi tập trung: Tổng hợp giá từ nhiều nguồn độc lập để loại bỏ điểm thất bại đơn lẻ
• Giá trung bình theo trọng số thời gian (TWAP): Trung bình giá trong các khoảng thời gian cố định để giảm khả năng khai thác các đột biến giá ngắn hạn
• Cầu dao tự động (Circuit Breakers): Các biện pháp tự động tạm dừng hoạt động khi biến động giá đạt mức cực đoan

Lỗ hổng của giao thức Makina cho thấy việc triển khai các lớp bảo vệ này còn thiếu sót—một khoảng trống đã gây thiệt hại lớn.

Học hỏi từ quá khứ: Mô hình thất bại về an ninh

Vụ hack của Makina không xảy ra trong cô lập. Ngành DeFi đã chứng kiến một mô hình lặp đi lặp lại của các sự cố tương tự. Năm 2022, Beanstalk Farms mất 182 triệu đô la qua một cuộc tấn công phức tạp về quản trị và thao túng oracle. Năm sau, Euler Finance đối mặt với khoản thiệt hại 197 triệu đô la (sau đó đã được khôi phục) qua chiến lược khai thác dựa trên flash loan. Trước đó, năm 2021, Cream Finance mất 130 triệu đô la qua các kỹ thuật flash loan và thao túng giá oracle.

Những sự kiện này cho thấy điều gì đó đáng suy ngẫm: cộng đồng an ninh đã hiểu rõ các vector tấn công này. CertiK, Trail of Bits, OpenZeppelin và các tổ chức kiểm toán hàng đầu đã công bố nhiều nghiên cứu về lỗ hổng flash loan và oracle. Tuy nhiên, các vụ hack thành công vẫn tiếp tục xảy ra, cho thấy khoảng cách giữa kiến thức và thực thi còn rất lớn.

Các vụ tấn công liên quan đến oracle gần đây:

Mỗi vụ hack thành công đều trở thành một kịch bản cho các hacker tương lai. Cuộc đua không ngừng giữa các nhà phát triển xây dựng các biện pháp phòng thủ và các tác nhân xấu tinh chỉnh kỹ thuật của họ không có dấu hiệu chậm lại.

Tại sao phản ứng của Makina lại quan trọng hiện nay

Hiện tại, đội ngũ Makina đã xác nhận đang tiến hành điều tra nhưng ít tiết lộ chi tiết. Sự chậm trễ trong truyền thông này đã là một vấn đề đáng kể. Trong hệ sinh thái DeFi ngày nay, các báo cáo hậu sự minh bạch không còn là tùy chọn—chúng đã trở thành tiêu chuẩn ngành. Người dùng, các tổ chức kiểm toán và cơ quan quản lý đều mong đợi các phân tích chi tiết về những gì đã xảy ra, cách khai thác thành công và các biện pháp sẽ được thực hiện để ngăn chặn lặp lại.

Sự im lặng của giao thức tạo ra một khoảng trống mà sự hoài nghi nhanh chóng lấp đầy. Liệu có bồi thường cho người dùng không? Các biện pháp bảo mật cụ thể nào sẽ được triển khai? Nếu không có câu trả lời rõ ràng, đội ngũ có nguy cơ làm mất thêm niềm tin của người dùng. 30-60 ngày tới sẽ là giai đoạn then chốt để xác định liệu Makina có thể phục hồi hay vụ hack này sẽ là một sự kiện chấm dứt cho giao thức.

Suy nghĩ toàn diện: An ninh DeFi và áp lực pháp lý

Vụ khai thác của Makina mang ý nghĩa vượt ra ngoài một giao thức đơn lẻ. Nó củng cố một thực tế đáng lo ngại: mặc dù hàng tỷ đô la quỹ người dùng đang bị đe dọa và ý thức về an ninh ngày càng tăng, các giao thức DeFi vẫn tiếp tục gặp các lỗ hổng có thể phòng tránh được.

Mô hình này chắc chắn sẽ thu hút sự chú ý của các cơ quan quản lý. Các nhà lập pháp toàn cầu đang theo dõi các vụ việc tích tụ này. Mỗi vụ khai thác mới đều củng cố lập luận về việc cần có sự giám sát chính thức—các yêu cầu KYC, khung trách nhiệm cho nhà phát triển, tiêu chuẩn kiểm toán bắt buộc hoặc hạn chế truy cập không phép. Tốc độ và mức độ tự điều chỉnh của ngành sẽ quyết định liệu các quy định bên ngoài có thúc đẩy nhanh quá trình hay không.

Hơn nữa, vụ việc này nhấn mạnh sự cần thiết của các khung bảo mật tiêu chuẩn, đã được thử nghiệm thực tế. Các giao thức áp dụng các cơ chế bảo vệ thận trọng, đã được chứng minh thay vì các phương pháp sáng tạo nhưng chưa được kiểm chứng, sẽ có lợi thế cạnh tranh rõ ràng vì họ tránh được các rủi ro này.

Kết luận: Cảnh giác hơn là đổi mới

Vụ mất 5 triệu đô la của Makina là một lời nhắc nhở rõ ràng rằng các cuộc tấn công bằng flash loan, dù về mặt kỹ thuật là ấn tượng, nhưng đều có thể giải quyết được. Hạ tầng bảo vệ oracle đã tồn tại. Các nhà phát triển đã biết về TWAP, cầu dao tự động và mạng lưới oracle phi tập trung.

Điều còn thiếu là việc thực thi nhất quán, nghiêm ngặt trên toàn bộ thị trường DeFi. Vụ hack này không phải là không thể tránh khỏi; nó hoàn toàn có thể phòng ngừa được. Con đường phía trước của Makina—bao gồm minh bạch về những gì đã xảy ra, cam kết nâng cấp bảo mật và khả năng lấy lại niềm tin của người dùng—sẽ cho thấy liệu hệ sinh thái có thực sự học hỏi từ các thất bại lặp đi lặp lại hay chỉ đang lặp lại chính nó.

Để DeFi trưởng thành từ một sân chơi thử nghiệm thành một lớp tài chính đáng tin cậy, việc bảo vệ quỹ người dùng phải vượt lên trên lời nói marketing và trở thành một thực tế vận hành không thể thương lượng.