#VenusProtocolSuspectedFlashLoanAttack

Hệ sinh thái tài chính phi tập trung gần đây đã bị rung chuyển khi Venus Protocol, một giao thức cho vay và vay lớn trên BNB Chain, bị tấn công bởi cái mà dữ liệu on-chain và các nhà phân tích bảo mật gọi là một cuộc tấn công flash-loan được nghi ngờ, dẫn đến những tổn thất đáng kể và kích hoạt sự biến động thị trường trên các thị trường token của nó. Sự cố, lần đầu tiên được quan sát vào ngày 15 tháng 3 năm 2026, đã gây ra lo ngại rộng rãi trong số người dùng DeFi và các nhà nghiên cứu bảo mật, làm nổi bật những lỗ hổng dai dẳng mà các hệ thống cho vay phi tập trung phải đối mặt khi những kẻ tấn công tinh vi khai thác động lực tài sản thế chấp và thanh khoản trong một giao dịch blockchain duy nhất.

Theo phân tích blockchain, kẻ tấn công nhắm vào Venus Protocol's Core Pool bằng cách thao túng giới hạn cung ứng trên token có thanh khoản thấp Thena (THE) để vay các tài sản khác với tài sản thế chấp được tính giá quá cao. Tổng cộng, khai thác này được ước tính đã trích xuất hơn 3,7 triệu đô la giá trị tài sản kỹ thuật số từ giao thức. Ví tiền khai thác đã vay khoảng 20 Bitcoin được bao bọc (BTCB), 1,5 triệu token CAKE, khoảng 200 BNB và các tài sản khác đối với vị thế tài sản thế chấp được tính giá quá cao của nó.

Các cuộc tấn công flash-loan tận dụng một nguyên hàm DeFi độc đáo theo đó những kẻ tấn công có thể vay những lượng tài sản rất lớn mà không cần tài sản thế chấp trước, với điều kiện là số tiền vay được hoàn trả trong cùng một khối blockchain. Trong trường hợp này, kẻ tấn công có thể vay một lượng lớn token THE trong vòng vài tháng, tích lũy khoảng 84% giới hạn cung ứng của giao thức cho THE (khoảng 14,5 triệu token) trước khi bắt đầu khai thác. Bằng cách tránh quy trình gửi tiêu chuẩn và chuyển token trực tiếp đến hợp đồng giao thức, kẻ tấn công đã vượt qua những hạn chế tích hợp và tạo ra vị thế tài sản thế chấp cao hơn ba lần so với giới hạn cung ứng giao thức dự định. Vị thế nhân tạo này sau đó đã phục vụ như cơ sở để vay và cạn kiệt các tài sản có giá trị cao từ nhóm cho vay.

Phương pháp được sử dụng trong cuộc tấn công này kết hợp các yếu tố của cả chiến lược flash-loan và thao túng giá. Khi tài sản thế chấp được tính giá quá cao đã sẵn sàng, kẻ tấn công liên tục vay các tài sản và, trong một số trường hợp, tái đầu tư vào THE để kích hoạt các bản cập nhật giá oracle mà tiếp tục làm tăng giá trị tài sản thế chấp. Điều này cho phép năng lực vay thậm chí còn lớn hơn trong cửa sổ giao dịch tương tự. Những chiến lược như vậy khai thác những khoảng trống giữa các dữ liệu giá oracle on-chain và các điều kiện thị trường thực tế - một rủi ro đã biết trong các hợp đồng thông minh DeFi dựa vào các cơ chế trung bình giá theo thời gian (TWAP) hoặc định giá sàn giao dịch phi tập trung.

Tác động của khai thác này ngay lập tức có thể nhìn thấy trên thị trường. Giá của token THENA (THE) trải qua sự biến động cực kỳ, tăng từ mức thấp khoảng 0,21 đô la đến mức cao trên 0,60 đô la trước khi sụp đổ trở lại khi các sự kiện thanh lý quy mô lớn xảy ra. Khối lượng giao dịch tăng đáng kể trên các sàn giao dịch phi tập trung khi những người tham gia thị trường phản ứng với tầng nước lũ thanh lý được kích hoạt bởi khai thác và các đợt bán tài sản tiếp theo.

Để đáp ứng cuộc tấn công flash-loan được nghi ngờ, Venus Protocol nhanh chóng thực hiện các biện pháp phòng ngừa nhằm ngăn chặn rủi ro và ngăn chặn cạn kiệt thêm tài sản. Nhóm giao thức đã tạm dừng cho vay và rút tiền cho token THE, hiệu quả đóng băng các phân đoạn thị trường bị ảnh hưởng trong khi cuộc điều tra tiếp tục. Một số báo cáo cũng cho thấy rằng Venus tạm thời giới hạn hoặc điều chỉnh các yếu tố tài sản thế chấp cho các thị trường khác được coi là có rủi ro cao để ngăn chặn các con đường khai thác bổ sung.

Các nhà nghiên cứu bảo mật và những người quan sát cộng đồng đã lưu ý rằng sự cố này có những tác động rộng hơn đối với bảo mật DeFi. Các khai thác flash-loan - đặc biệt là những khai thác thao túng tài sản thế chấp và giới hạn cung ứng - tiết lộ những lỗ hổng dai dẳng trong các giao thức hợp đồng thông minh không thực thi đầy đủ giới hạn cung ứng hoặc dựa vào các bộ lọc giá bị trì hoãn. Trong khi các flash loan tự nó là những nguyên hàm DeFi trung lập được thiết kế để cung cấp thanh khoản và cơ hội chênh lệch giá, những tác nhân độc hại có thể vũ khí hóa chúng khi các biện pháp bảo vệ giao thức không đủ mạnh.

Cuộc tấn công flash-loan được nghi ngờ vào Venus Protocol đóng vai trò như một lời nhắc nhở rõ ràng về những rủi ro vốn có trong các nền tảng cho vay phi tập trung. Không giống như tài chính tập trung nơi các biện pháp kiểm soát rủi ro và giám sát thường liên quan đến giám sát của con người và tuân thủ quy định - các giao thức DeFi phụ thuộc vào các hợp đồng thông minh tự động để thực thi các quy tắc. Nếu một kẻ tấn công có thể xác định và khai thác một lỗi logic hoặc sự khác biệt của oracle, thiệt hại kết quả có thể nhanh chóng và có ý nghĩa tài chính. Sự kiện này đã thúc đẩy cuộc tranh luận lại trong cộng đồng DeFi về hiệu quả của các hệ thống oracle hiện có, quy tắc tài sản thế chấp và các chiến lược giảm nhẹ rủi ro tự động.

Đối với những người dùng Venus Protocol và các nền tảng DeFi tương tự, sự cố này nhấn mạnh tầm quan trọng của quản lý rủi ro, đánh giá cẩn thận tính thanh khoản của token trước khi sử dụng nó làm tài sản thế chấp và hết sức cảnh báo về những phát triển bảo mật đang diễn ra. Khi hệ sinh thái phát triển, các nhà đầu tư và nhà phát triển có thể thúc đẩy các tiêu chuẩn kiểm tra nâng cao, các giải pháp oracle bền vững hơn và thiết kế hợp đồng được cải thiện để ngăn chặn các khai thác tương tự trong tương lai.

Tóm lại, #VenusProtocolSuspectedFlashLoanAttack đề cập đến một khai thác tinh vi trên các thị trường cho vay Venus Protocol's BNB Chain dẫn đến mất mát hơn 3,7 triệu đô la, sự biến động token đáng kể và phản ứng giao thức nhanh chóng liên quan đến các thị trường tạm dừng và điều tra tích cực. Cuộc tấn công tận dụng một sự kết hợp của thao túng giới hạn cung ứng và cơ chế flash-loan, minh họa những thách thức bảo mật DeFi đang diễn ra trong một bối cảnh tài chính phát triển nhanh nhưng vẫn còn chín muồi.