Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Thêm
Hack của Venus Protocol gây ra khoản lỗ 3.7 triệu đô la sau khi THE token bị thao túng trên BNB Chain
Một lỗ hổng mới trên thị trường cho vay hàng đầu của BNB Chain đã làm sống lại những lo ngại về quản lý rủi ro trong DeFi, với vụ hack mới nhất của Venus Protocol một lần nữa liên quan đến điểm yếu về oracle và thanh khoản.
Cách thức thao túng giá THE diễn ra trên Venus
Vào Chủ nhật, Venus Protocol, nền tảng cho vay chiếm ưu thế trên BNB Chain, đã bị tấn công tinh vi dựa trên thao túng giá tập trung vào THE, token gốc của Thena. Sự cố này, nhằm vào một thị trường tài sản cụ thể, đã phơi bày những điểm yếu về cấu trúc trong quá trình đưa tài sản thế chấp vào hệ thống và giả định về thanh khoản.
Kẻ tấn công khai thác thanh khoản on-chain mỏng manh để đẩy giá THE từ khoảng $0.27 lên gần $5. Chiến lược của họ dựa trên việc liên tục gửi token làm tài sản thế chấp, vay các tài sản khác, mua thêm THE bằng số tiền vay được, rồi lặp lại quá trình này. Hơn nữa, oracle giá của Venus vẫn tiếp tục theo dõi giá trị thị trường bị thao túng trong suốt các chu kỳ này.
Để vượt qua giới hạn cung cấp THE của Venus, kẻ tấn công đã sử dụng kỹ thuật tấn công quyên góp. Thay vì sử dụng chức năng gửi tiền tiêu chuẩn, họ chuyển trực tiếp token vào hợp đồng thông minh vTHE. Luồng này làm sai lệch tỷ giá trao đổi nội bộ của giao thức, vô hiệu hóa hiệu quả giới hạn cung cấp dự kiến và tạo ra lượng tài sản thế chấp lớn bất thường.
Sử dụng lượng tài sản thế chấp bị thao túng, kẻ khai thác đã rút ra nhiều tài sản từ hệ thống. Họ rút 6,67 triệu CAKE, 1,58 triệu USDC, 2.801 BNB và 20 Bitcoin trong một khoảng thời gian ngắn, chuyển đổi giá trị bị thao túng của THE thành giá trị thực qua nhiều token thanh khoản khác.
Ước tính thiệt hại, nợ xấu và phản ứng khẩn cấp
Tổng thiệt hại từ vụ tấn công vượt quá 3,7 triệu USD, theo báo cáo từ Wu Blockchain. Tuy nhiên, không phải toàn bộ số này vẫn còn rủi ro mở. Nhà phân tích on-chain độc lập EmberCN ước tính khoảng 2,15 triệu USD vẫn còn tồn tại dưới dạng nợ xấu trên Venus, gồm khoảng 1,18 triệu CAKE và 1,84 triệu THE không còn được đảm bảo đủ làm tài sản thế chấp.
Địa chỉ ví đứng sau vụ tấn công ban đầu được cấp vốn ban đầu bằng 7.400 ETH qua Tornado Cash, dịch vụ trộn tiền điện tử tập trung vào quyền riêng tư. Tuy nhiên, việc sử dụng các công cụ như vậy là phổ biến trong các vụ khai thác phức tạp và làm cho việc truy nguyên nguồn gốc và phục hồi trở nên khó khăn hơn đối với các nhà điều tra và các giao thức bị ảnh hưởng.
Để ứng phó, Venus Protocol đã thông báo trên X rằng họ đã phát hiện “hoạt động bất thường” trong pool thanh khoản của THE. Nhóm đã nhanh chóng đóng băng tất cả các chức năng vay và rút liên quan đến THE, coi đó là biện pháp phòng ngừa khẩn cấp trong khi tiến hành đánh giá an ninh nội bộ và bên ngoài.
Những đánh đổi của kẻ tấn công và thiệt hại ròng tiềm năng
Quá trình khai thác không diễn ra hoàn toàn như kẻ tấn công dự định ban đầu. Sau vòng vay đầu tiên, oracle giá trung bình theo thời gian của Venus chỉ điều chỉnh giá trị của THE khoảng $0.50, thấp hơn nhiều so với mức gần $5 trong giao dịch spot. Điều này làm giảm giá trị tài sản thế chấp hiệu quả trong hệ thống.
Tuy nhiên, kẻ tấn công vẫn tiếp tục mua THE bằng vốn vay, cố gắng duy trì giá cao và tối đa hóa khả năng vay mượn. Tuy nhiên, áp lực bán liên tục đã vượt quá khả năng của sổ lệnh mỏng. Chỉ số sức khỏe của tài khoản gần như về mức 1, kích hoạt thanh lý và buộc phải bán tháo tài sản thế chấp vào thị trường đang giảm mạnh.
Việc tháo gỡ diễn ra trong một thị trường gần như không có độ sâu. THE giảm xuống khoảng $0.24, thấp hơn cả giá trước khi bị tấn công gần $0.27. Nhà nghiên cứu an ninh on-chain Weilin Li, người đã công khai cảnh báo vụ việc, cho rằng kẻ tấn công có thể chỉ thu được lợi nhuận hạn chế trên chuỗi và cuối cùng có thể đã ghi nhận lỗ ròng.
Tại thời điểm công bố, THE giao dịch quanh mức $0.2255, giảm hơn 17% trong 24 giờ qua. Thêm vào đó, sự đảo chiều mạnh mẽ này nhấn mạnh cách mà sự biến động cực đoan của các tài sản thanh khoản thấp có thể đảo ngược kinh tế của một vụ thao túng ban đầu có vẻ sinh lợi.
Mô hình các vụ nợ xấu tại Venus
Sự cố mới nhất của Venus Protocol bổ sung vào lịch sử các khoản lỗ liên quan đến thao túng thị trường và thiết kế tài sản thế chấp. Năm 2021, một kế hoạch liên quan đến token XVS của nền tảng đã tạo ra hơn 95 triệu USD nợ xấu, để lại một khoản lỗ lớn cho giao thức và cộng đồng.
Sau đó, trong vụ sụp đổ của Terra/LUNA năm 2022, Venus đã tiếp nhận khoảng 14 triệu USD rủi ro không đảm bảo. Tuy nhiên, những thiệt hại này do thất bại hệ thống của thị trường gây ra chứ không phải do khai thác trực tiếp, làm nổi bật một khía cạnh rủi ro khác liên quan đến các nền tảng cho vay đa tài sản.
Gần đây nhất, vào tháng 2 năm 2025, một vụ khai thác dựa trên quyên góp tương tự đã tấn công Venus trên nền tảng ZKSync. Kẻ tấn công đã sử dụng cơ chế gần giống vụ việc Chủ nhật để tạo ra hơn 700.000 USD nợ xấu. Việc lặp lại mô hình này qua các môi trường đã làm tăng sự chú ý về cách giao thức xử lý quá trình đưa tài sản thế chấp và các hành vi ngoại lệ.
Rủi ro thiết kế dựa trên Compound và các cảnh báo bị bỏ qua
Lỗ hổng chính được khai thác ở đây không phải là duy nhất của Venus Protocol. Kỹ thuật khai thác theo kiểu quyên góp này là một điểm yếu đã được biết trong các hệ thống cho vay dựa trên mô hình của Compound, nơi chuyển token trực tiếp vào các thị trường sinh lãi có thể làm sai lệch các tính toán đánh giá tài sản thế chấp và giới hạn cung cấp.
Quan trọng là, đánh giá an ninh của Code4rena về Venus đã cảnh báo về loại rủi ro này từ trước. Tuy nhiên, nhóm phát triển đã cho rằng mức độ nghiêm trọng của phát hiện này không đáng kể vào thời điểm đó, và đã không triển khai các biện pháp giảm thiểu toàn diện. Việc tái diễn một cuộc tấn công gần như giống hệt như vậy hiện nay đang đặt ra những chỉ trích mới đối với quyết định này từ các nhà nghiên cứu an ninh và người dùng.
Đối với các thị trường DeFi trên BNB Chain và các nền tảng khác, vụ hack Venus mới nhất nhấn mạnh cách các vấn đề lý thuyết đã biết có thể dẫn đến thiệt hại thực tế nếu không được xử lý. Trong tương lai, việc kiểm soát chặt chẽ hơn về thanh khoản tài sản thế chấp, nguồn oracle và các chuyển khoản kiểu quyên góp sẽ trở thành trọng tâm để khôi phục niềm tin.
Tóm lại, vụ tấn công Venus liên quan đến THE kết hợp thao túng giá, phụ thuộc oracle và phương thức quyên góp để tạo ra hơn 3,7 triệu USD thiệt hại, đồng thời một lần nữa phơi bày các rủi ro cấu trúc lâu dài trong các giao thức cho vay dựa trên Compound.