Venus Protocol, một nền tảng cho vay trên BNB Chain, vừa hứng chịu một vụ khai thác mới sau khi kẻ tấn công thao túng thanh khoản token để lợi dụng cơ chế flash loan.
Sự cố này đã rút cạn khoảng 3,6 triệu đô la và buộc giao thức phải hạn chế giao dịch trên một số tài sản.
Diễn biến vụ khai thác
Phân tích sau sự cố cho thấy hoạt động này đã diễn ra trong nhiều tháng. Kẻ tấn công đã dùng thời gian đó để tích lũy THE, token gốc của Thena.
Tổng cộng, khoảng 14,5 triệu THE—tương đương 84% nguồn cung lưu thông của token—đã được mua từ thị trường mở.
Kẻ tấn công sau đó chuyển các token vào hệ thống cho vay của Venus Protocol, bỏ qua quy trình gửi tiền thông thường. Thao tác này cho phép kẻ tấn công xây dựng một vị thế nhân tạo vượt xa nguồn cung lưu thông thực tế của token.
Ghi chép cho thấy chu kỳ khai thác cuối cùng liên quan đến khoảng 53,2 triệu THE, cao hơn khoảng 367% so với nguồn cung thực của tài sản.
Chiến lược này dựa vào tính thanh khoản trên chuỗi mỏng của token. Kẻ tấn công liên tục gửi THE làm tài sản thế chấp, vay các tài sản khác dựa trên đó và sử dụng số tiền vay để mua thêm THE.
Mỗi chu kỳ đẩy giá oracle của token lên cao hơn, tạo ra vẻ ngoài của nhu cầu tăng và thổi phồng giá trị của tài sản thế chấp.
Với mỗi vòng lặp, kẻ tấn công tăng quy mô vay và cuối cùng đẩy hệ thống vượt quá giới hạn của nó.
Vụ khai thác cuối cùng đã rút cạn khoảng 3,6 triệu đô la tài sản. Các quỹ bị đánh cắp bao gồm 6,67 triệu PancakeSwap, 2.801 BNB, 1,97K WBNB, 1,58 triệu USD Coin và 20 Bitcoin BEP2.
Phản ứng của giao thức
Để đáp lại, nhóm phát triển đằng sau Venus Protocol đã tạm dừng thị trường THE và đưa ra các yêu cầu thế chấp chặt chẽ hơn cho một số tài sản được coi là rủi ro cao.
Khung sửa đổi nâng cao ngưỡng thế chấp và giới hạn mức độ tiếp xúc với các token có tính thanh khoản yếu hoặc quyền sở hữu tập trung.
Theo điều kiện mới, các token được sử dụng làm tài sản thế chấp phải đáp ứng các tiêu chuẩn nghiêm ngặt hơn liên quan đến vốn hóa thị trường, khối lượng giao dịch và phân phối nguồn cung.
Sáu tài sản đã được đánh dấu theo tiêu chí cập nhật, bao gồm Bitcoin Cash [BCH], Litecoin [LTC], Uniswap [UNI], Aave [AAVE], Filecoin [FIL] và Trust Wallet Token [TWT].
Không phải là sự cố bảo mật đầu tiên
Tuy nhiên, đây không phải là sự cố bảo mật đầu tiên liên quan đến giao thức.
Vào tháng 9 năm 2025, Venus Protocol đã báo cáo tổn thất khoảng 27 triệu đô la sau một cuộc tấn công lừa đảo đã xâm phạm quyền truy cập vào bộ điều khiển pool lõi của nó.
Kẻ tấn công đã triển khai một địa chỉ hợp đồng độc hại để thao túng hệ thống. Vụ khai thác đó cho phép truy cập vào các tài sản iToken như vUSDC và vETH.
Dù vậy, Tổng giá trị bị Khóa (TVL) của nền tảng vẫn tương đối ổn định.
Dữ liệu cho thấy TVL duy trì gần 1,47 tỷ đô la trong những ngày gần đây, không có sự sụt giảm mạnh ngay lập tức sau vụ khai thác mới nhất.
Tóm tắt cuối cùng
- Venus Protocol đã hứng chịu một vụ khai thác 3,6 triệu đô la sau khi kẻ tấn công thao túng tính thanh khoản token THE và lạm dụng cơ chế flash loan.
- Kẻ tấn công đã tích lũy 14,5 triệu THE (84% nguồn cung lưu thông) trước khi bắt đầu khai thác.
