Venus Protocol bị khai thác 3,6 triệu USD trên BNB Chain

Venus Protocol trên BNB Chain đã bị khai thác khoảng 3,6 triệu USD khi kẻ tấn công thao túng thanh khoản token THE để thổi giá tài sản thế chấp và lạm dụng cơ chế flash loan.

Sự cố buộc giao thức phải hạn chế giao dịch ở một số tài sản và siết điều kiện thế chấp, đồng thời gợi lại rủi ro cố hữu của các thị trường có thanh khoản mỏng và nguồn cung tập trung trong mảng cho vay tiền điện tử.

Khai thác bắt nguồn từ việc thao túng thanh khoản THE và thổi giá oracle

Cuộc tấn công diễn ra do kẻ xấu tận dụng thanh khoản on-chain mỏng của THE để đẩy giá oracle lên qua các vòng lặp thế chấp–vay–mua, khiến giá trị tài sản thế chấp bị phóng đại và vượt ngưỡng an toàn của hệ thống.

Phân tích sau sự cố cho thấy chiến dịch đã được chuẩn bị trong nhiều tháng. Kẻ tấn công dành thời gian tích lũy THE, token gốc của Thena, trước khi triển khai cơ chế khai thác liên quan đến flash loan và định giá oracle.

Tổng cộng khoảng 14,5 triệu THE, tương đương khoảng 84% nguồn cung lưu hành, đã được mua từ thị trường mở. Tỷ lệ nắm giữ lớn như vậy làm tăng khả năng tác động giá khi thanh khoản giao dịch mỏng.

Sau đó, THE được chuyển vào hệ thống cho vay của Venus Protocol theo cách “đi vòng” quy trình gửi tiền thường thấy, giúp kẻ tấn công xây dựng một vị thế nhân tạo vượt xa quy mô nguồn cung lưu hành thực tế của token.

Ghi nhận cho thấy chu kỳ khai thác cuối cùng liên quan đến khoảng 53,2 triệu THE, cao hơn khoảng 367% so với nguồn cung thực. Điều này phản ánh mức độ “phóng đại” vị thế thế chấp mà kẻ tấn công tạo ra trong hệ thống.

Chiến lược cốt lõi là lặp lại: gửi THE làm tài sản thế chấp, vay các tài sản khác dựa trên giá trị thế chấp đã bị thổi phồng, rồi dùng tài sản vay được để mua thêm THE. Mỗi vòng lặp làm giá oracle tăng, tạo ảo giác nhu cầu cao và nâng giá trị thế chấp, cho phép vay nhiều hơn.

Khi quy mô khoản vay tăng dần qua từng vòng, hệ thống bị đẩy vượt giới hạn chịu đựng. Kết quả là gói tài sản bị rút ra có tổng giá trị khoảng 3,6 triệu USD.

Tài sản bị rút trong vụ tấn công ước tính khoảng 3,6 triệu USD

Thiệt hại được ước tính khoảng 3,6 triệu USD, với nhiều loại tài sản bị rút khỏi giao thức sau khi vị thế thế chấp THE bị thổi giá cho phép vay quá mức.

Theo thống kê công bố trong báo cáo sự cố, tài sản bị lấy đi bao gồm 6,67 triệu PancakeSwap, 2.801 BNB, 1,97K WBNB, 1,58 triệu USD Coin và 20 Bitcoin BEP2. Danh sách này cho thấy kẻ tấn công tập trung vào các tài sản có tính thanh khoản cao để hiện thực hóa lợi nhuận.

Venus Protocol tạm dừng thị trường THE và siết yêu cầu thế chấp

Sau sự cố, Venus Protocol đã tạm dừng thị trường THE và áp dụng yêu cầu thế chấp nghiêm ngặt hơn cho một số tài sản rủi ro, nhằm giảm khả năng lặp lại kịch bản thao túng thanh khoản và giá oracle.

Khung quản trị rủi ro được điều chỉnh theo hướng nâng ngưỡng thế chấp và hạn chế mức phơi nhiễm với các token có thanh khoản yếu hoặc có mức độ tập trung sở hữu cao. Đây là các điều kiện thường làm tăng rủi ro “bóp thanh khoản” và đẩy giá trong thời gian ngắn.

Theo các điều kiện mới, token muốn được chấp nhận làm tài sản thế chấp phải đáp ứng tiêu chuẩn nghiêm hơn về vốn hóa thị trường, khối lượng giao dịch và phân bổ nguồn cung. Mục tiêu là giảm khả năng một thực thể có thể kiểm soát phần lớn nguồn cung rồi thao túng giá.

Sáu tài sản đã bị gắn cờ theo tiêu chí cập nhật, gồm Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL) và Trust Wallet Token (TWT). Việc “gắn cờ” phản ánh nhóm tài sản được đánh giá cần kiểm soát rủi ro chặt hơn trong cơ chế thế chấp.

Venus từng ghi nhận sự cố bảo mật trước đó, nhưng TVL hiện không giảm mạnh

Đây không phải lần đầu Venus Protocol gặp sự cố bảo mật; tuy nhiên dữ liệu gần đây cho thấy Total Value Locked (TVL) vẫn duy trì quanh 1,47 tỷ USD, chưa ghi nhận cú giảm mạnh ngay sau vụ khai thác mới nhất.

Trong tháng 9 năm 2025, Venus Protocol báo cáo thiệt hại khoảng 27 triệu USD sau một vụ phishing làm lộ quyền truy cập vào bộ điều khiển pool cốt lõi. Kẻ tấn công triển khai một địa chỉ hợp đồng độc hại để thao túng hệ thống, qua đó truy cập các tài sản iToken như vUSDC và vETH.

Dù vậy, nền tảng cho biết TVL vẫn tương đối ổn định. Dữ liệu gần đây ghi nhận TVL giữ quanh mức 1,47 tỷ USD, và chưa có dấu hiệu lao dốc ngay sau vụ khai thác lần này.

Những câu hỏi thường gặp

Vụ khai thác Venus Protocol lần này diễn ra như thế nào?

Kẻ tấn công tích lũy lượng lớn THE, đưa THE vào Venus để tạo vị thế thế chấp phồng to, rồi lặp vòng gửi thế chấp–vay tài sản khác–mua thêm THE nhằm đẩy giá oracle lên. Khi giá trị thế chấp bị thổi phồng đủ lớn, họ vay quá mức và rút tài sản khỏi giao thức.

Thiệt hại ước tính của vụ việc là bao nhiêu và gồm những tài sản nào?

Thiệt hại ước tính khoảng 3,6 triệu USD. Tài sản bị rút được báo cáo gồm 6,67 triệu PancakeSwap, 2.801 BNB, 1,97K WBNB, 1,58 triệu USD Coin và 20 Bitcoin BEP2.

Venus Protocol đã phản ứng ra sao sau sự cố?

Venus Protocol đã tạm dừng thị trường THE và siết yêu cầu thế chấp cho các tài sản rủi ro. Khung mới tăng ngưỡng thế chấp và giới hạn phơi nhiễm với token có thanh khoản yếu hoặc sở hữu tập trung, đồng thời yêu cầu tiêu chuẩn cao hơn về vốn hóa, khối lượng và phân bổ nguồn cung.

Những tài sản nào bị gắn cờ theo tiêu chí rủi ro cập nhật?

Sáu tài sản được nêu gồm Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL) và Trust Wallet Token (TWT).

Venus Protocol trước đây đã từng bị tấn công chưa và TVL có bị ảnh hưởng không?

Có. Tháng 9 năm 2025, Venus báo cáo thiệt hại khoảng 27 triệu USD do phishing liên quan đến bộ điều khiển pool cốt lõi. Với sự cố mới nhất, dữ liệu được nêu cho thấy TVL vẫn quanh 1,47 tỷ USD và chưa có cú giảm mạnh ngay sau vụ việc.