📝 Tổng quan sự cố: Cuộc tấn công Flash Loan của Venus Protocol

Vào ngày 14 tháng 3 năm 2026, nền tảng cho vay Venus Protocol trên BNB Chain đã bị tấn công flash loan tinh vi, dẫn đến mất mát hơn 3,7 triệu đô la trong các tài sản crypto khác nhau. Cuộc tấn công đặc biệt nhắm vào sự tích hợp của nền tảng với token thanh khoản thấp THENA (THE), dẫn đến giá của nó sụt giảm hơn 17% dalam 24 giờ.

Kẻ tấn công, được xác định bằng địa chỉ 0x1a35…6231, đã thoát khỏi với khoảng 20 BTCB (Bitcoin BEP2), 1,5 triệu token CAKE và 200 BNB.

🕵️ Cách thức Thực hiện Cuộc tấn công

Đây không phải là một cuộc hack đơn giản, một bước duy nhất. Nó là một khai thác có kế hoạch chu đáo kết hợp chiến lược tích lũy dài hạn với thao tác giá phức tạp ngắn hạn bằng flash loan. Cuộc tấn công có thể được chia thành hai giai đoạn chính:

1. Trò chơi dài hạn: Tích lũy THE (Tháng 6 năm 2025 - Tháng 3 năm 2026)
· Trong chín tháng trước cuộc tấn công, người khai thác đã từng chút một tích lũy một vị thế lớn trong các token THE một cách chậm và âm thầm. Họ đã mua lại khoảng 84% của giới hạn cung cấp THE trên Venus, tương đương khoảng 14,5 triệu token.
· Sự tích lũy dài hạn này đã tạo ra sân khấu cho cuộc khai thác chính bằng cách đảm bảo họ có một cơ sở lớn của token mục tiêu.
2. Trò chơi ngắn hạn: Flash Loan & Thao tác Oracle
· Flash Loan: Kẻ tấn công đã lấy một flash loan khổng lộ (một khoản vay không có tài sản thế chấp phải được hoàn trả trong cùng một giao dịch blockchain) của một stablecoin như USDC.
· Tăng giá THE: Họ đã sử dụng những khoản tiền được vay này để mua một số lượng lớn THE trên một sàn giao dịch phi tập trung như PancakeSwap. Vì THE có thanh khoản thấp, đợt mua này đã tăng giá một cách nhân tạo từ khoảng 0,263 đô la lên gần 0,563 đô la.
· Khai thác Oracle: Venus Protocol dựa vào oracle TWAP (Giá trung bình có trọng số theo thời gian) để xác định giá tài sản. Lượng mua khổng lộ của kẻ tấn công đã thao tác giá thị trường, và khi oracle được cập nhật, nó phản ánh giá cao nhân tạo này.
· Ký gửi tài sản thế chấp tăng giá: Kẻ tấn công sau đó đã vượt qua các giới hạn ký gửi bình thường bằng cách chuyển trực tiếp các token THE đến hợp đồng giao thức, tạo ra vị thế tài sản thế chấp là 53,2 triệu THE—gần như gấp 3,7 lần giới hạn được phép.
· Vay tài sản thực: Với tài sản thế chấp của họ hiện được định giá ở mức cao nhân tạo được oracle cung cấp, kẻ tấn công đã vay số lượng lớn các tài sản thực, giá trị cao từ Venus: BTCB, CAKE và BNB.
· Hoàn trả và Lợi nhuận: Cuối cùng, họ đã bán một số THE còn lại để lấy lại tiền, hoàn trả flash loan, và thoát khỏi với các tài sản được vay như lợi nhuận thuần. Khi áp lực mua nhân tạo biến mất, giá THE đã sụp đổ trở lại khoảng 0,22 đô la, để lại Venus với tài sản thế chấp vô giá trị.

⚠️ Hậu quả trực tiếp và phản ứng của Giao thức

Venus Protocol đã hành động nhanh chóng để kiềm chế thiệt hại và ngăn chặn các cuộc khai thác tiếp theo:

· Tạm dừng Thị trường: Họ đã tạm dừng ngay lập tức tất cả các giao dịch vay và rút tiền cho THE, cũng như cho một số thị trường khác có nồng độ thanh khoản cao (BCH, LTC, UNI, AAVE, FIL và TWT).
· Giảm Rủi ro: Hệ số Tài sản thế chấp (CF) cho sáu thị trường này, cộng với lisUSD, đã được giảm xuống không. Biện pháp này nhắm vào các thị trường nơi một người dùng duy nhất nắm giữ một phần không cân xứng của tài sản thế chấp được cung cấp, ngăn không cho chúng được sử dụng để vay thêm.
· Điều tra Đang diễn ra: Nhóm đã tuyên bố rằng tất cả các thị trường khác vẫn hoạt động và không bị ảnh hưởng. Họ đã cam kết phát hành một báo cáo hậu kỳ chi tiết sau khi hoàn thành cuộc điều tra của họ.

Sự cố này bổ sung thêm vào lịch sử những thách thức về bảo mật của Venus Protocol, bao gồm một sự kiện nợ xấu $95 triệu năm 2021 và các tổn thất liên quan đến sự sụp đổ Terra/LUNA và vụ hack cầu BNB Chain vào năm 2022.

Tôi hy vọng bản phân tích chi tiết này hữu ích. Bạn có muốn tôi giải thích chi tiết hơn về cách thức hoạt động của flash loan, hoặc cung cấp cập nhật về chuyển động giá của THENA sau sự cố không?