Nhà giao dịch Venus Protocol mất 30 triệu đô la do lỗi nghiêm trọng, Cyvers xác nhận

Một sự cố nghiêm trọng trên Venus Protocol đã dẫn đến việc mất gần 30 triệu đô la tài sản.

Trong khi nhiều người ban đầu nghi ngờ đây là một vụ hack, các nhà phân tích bảo mật blockchain tại Cyvers đã xác nhận với BeInCrypto rằng đây là lỗi từ phía người dùng, không phải lỗ hổng trong chính giao thức.

Người dùng Venus Protocol mất 30 triệu đô la do lừa đảo phishing, không phải bị hack giao thức

PeckShield là đơn vị đầu tiên phát hiện hoạt động đáng ngờ, lưu ý rằng một người dùng Venus Protocol đã bị rút khoảng 27 triệu đô la sau khi trở thành nạn nhân của một vụ lừa đảo phishing.

Một người dùng @VenusProtocol đã bị rút khoảng 27 triệu đô la tiền mã hóa sau khi dính bẫy một vụ lừa đảo #phishing. Nạn nhân đã phê duyệt một giao dịch độc hại, cấp quyền phê duyệt token cho địa chỉ của kẻ tấn công (0x7fd8…202a) để chuyển tài sản.

— PeckShieldAlert September 2, 2025

Kẻ tấn công đã truy cập được vào ví bằng cách lừa nạn nhân phê duyệt một giao dịch độc hại, qua đó cấp quyền không giới hạn để chuyển tài sản từ ví.

Các token bị đánh cắp bao gồm khoảng 19,8 triệu đô la vUSDT, 7,15 triệu đô la vUSDC, 146.000 đô la vXRP, 22.000 đô la vETH và thậm chí 285 BTCB, đại diện cho những gì các quan sát viên mô tả là “tài sản thế hệ”.

Nhà phân tích Defi Ignas cũng đưa ra ý kiến, lưu ý rằng Venus “hoạt động đúng như dự kiến” và sự cố này bắt nguồn từ việc kẻ tấn công lợi dụng các ủy quyền đã được phê duyệt trước từ ví bị xâm phạm.

“Chỉ một lần phê duyệt sai và bùm—bạn đã xong. Đó là mặt tối của DeFi: các phê duyệt mở rất mạnh mẽ, nhưng cũng cực kỳ nguy hiểm nếu bạn không cẩn thận,” nhà phân tích Crypto Jargon viết.

Quan điểm này được cộng đồng đồng tình khi các cảnh báo lại được nhắc lại. Các phương pháp tốt nhất bao gồm thường xuyên thu hồi các phê duyệt, tránh các liên kết chưa xác minh và sử dụng ví phần cứng thay vì chỉ dựa vào ví nóng.

Cyvers đã xác nhận điều này trong một tuyên bố với BeInCrypto:

“Đúng vậy, đây là lỗi phía người dùng chứ không phải ở cấp độ giao thức,” Cyvers nhấn mạnh.

Các khoản tiền bị đánh cắp vẫn chưa được hoán đổi, vẫn nằm trong địa chỉ hợp đồng của kẻ tấn công.

“Sự cố này cho thấy ngay cả những người dùng DeFi giàu kinh nghiệm cũng vẫn dễ bị tổn thương trước các chiêu trò phishing tinh vi. Bằng cách lừa nạn nhân cấp quyền phê duyệt token, kẻ tấn công đã rút được 27 triệu đô la từ Venus Protocol chỉ trong một giao dịch,” Hakan Unal, Trưởng bộ phận Vận hành An ninh tại Cyvers cho biết.

Trước bối cảnh này, Unal cảnh báo người dùng không nên nhấp hoặc phê duyệt bất cứ điều gì trên các trang web lạ, vì những kẻ phishing thường giả mạo các trang chính thức và thay đổi tên miền một cách tinh vi.

Khi được hỏi về khả năng thu hồi tài sản, chuyên gia bảo mật cho biết mặc dù có thể treo thưởng bug bounty, nhưng các dịch vụ trộn khiến việc thu hồi tài sản gần như không thể.

“Người dùng có thể treo thưởng bug bounty on-chain, nhưng trong hầu hết các trường hợp, tài sản bị đánh cắp sẽ kết thúc ở các mixer,” Unal bổ sung.

Bunni DEX bị khai thác, mất 8,4 triệu đô la

Trong một sự cố riêng biệt, Bunni, một sàn giao dịch phi tập trung (DEX) xây dựng trên Uniswap v4, đã bị khai thác lỗ hổng khiến hơn 8,4 triệu đô la bị rút trên cả Ethereum và UniChain.

Khác với vụ Venus, đây là một lỗ hổng thực sự ở cấp độ giao thức.

Bunni thông báo đã tạm dừng tất cả các chức năng hợp đồng thông minh trên các mạng khi đội ngũ đang điều tra:

“Ứng dụng Bunni đã bị ảnh hưởng bởi một lỗ hổng bảo mật. Để phòng ngừa, chúng tôi đã tạm dừng tất cả các chức năng hợp đồng thông minh trên mọi mạng,” mạng lưới xác nhận.

Theo GoPlus Security, lỗ hổng xuất phát từ điểm yếu trong Liquidity Distribution Function (LDF) tùy chỉnh của Bunni.

Victor Tran, một nhà phát triển blockchain, đã giải thích cách kẻ tấn công thao túng đường cong với các giao dịch có kích thước được tính toán cẩn thận.

1. Bunni là một liquidity hook chạy trên UniswapV4. Thay vì sử dụng hệ thống thông thường của UniswapV4, Bunni có đường cong thanh khoản riêng gọi là LDF (Liquidity Distribution Function). 2. Sau mỗi giao dịch, Bunni kiểm tra xem đường cong LDF của nó có thay đổi kể từ giao dịch trước không. Nếu có,…

— Victor Tran September 2, 2025

Bằng cách liên tục kích hoạt các tính toán sai trong quá trình cân bằng lại thanh khoản, kẻ khai thác đã rút được nhiều token hơn mức cho phép, rút cạn các pool trước khi hoàn tất cuộc tấn công bằng hai bước hoán đổi.

Tran nhấn mạnh rằng mặc dù hook của Bunni bị xâm phạm, Uniswap v4 vẫn không bị ảnh hưởng.

Hai sự cố này cho thấy sự cân bằng mong manh giữa đổi mới và bảo mật trong tài chính phi tập trung (DeFi).

Thiệt hại của Venus Protocol nhấn mạnh yếu tố con người, nơi chỉ một cú nhấp chuột có thể xóa sạch tài sản. Trong khi đó, vụ khai thác của Bunni cho thấy các sai sót về độ chính xác của các cơ chế mới có thể làm lộ thanh khoản.

Trong một thị trường mà hàng tỷ đô la đang bị đe dọa, chỉ một sai lầm, dù là con người hay kỹ thuật, đều có thể gây hậu quả nghiêm trọng.

Do đó, khi lĩnh vực DeFi mở rộng, việc giáo dục người dùng và sự nghiêm ngặt của giao thức sẽ vẫn là yếu tố then chốt.