Venus Protocol gánh 2,15 triệu USD nợ xấu sau vụ hacker thao túng giá token THE

Venus Protocol – nền tảng cho vay lớn nhất trên BNB Chain – xác nhận đã ghi nhận “hoạt động bất thường” trong pool THE vào Chủ nhật và cho biết đang tiến hành điều tra. Để phòng ngừa rủi ro, giao thức đã tạm dừng toàn bộ hoạt động vay và rút token THE.

Kịch bản thao túng giá

Theo nhà nghiên cứu on-chain Weilin Li, hacker đã lợi dụng thanh khoản rất mỏng của THE trên blockchain để thực hiện vòng lặp thao túng oracle giá:

• Nạp THE làm tài sản thế chấp

• Vay các tài sản khác từ Venus

• Dùng số tài sản vay được để mua thêm THE

• Lặp lại quá trình khi oracle giá trung bình theo thời gian (TWAP) cập nhật theo mức giá bị đẩy lên

THE từng được niêm yết làm tài sản thế chấp trong Core Pool của Venus.

Bằng chiến thuật này, giá THE bị đẩy từ khoảng 0,27 USD lên gần 5 USD. Mô hình tấn công này tương tự vụ khai thác Mango Markets vào tháng 10/2022, một dạng thao túng oracle đã được Li phân tích trong nghiên cứu học thuật năm 2023.

Để mở rộng quy mô tấn công vượt quá giới hạn supply cap của Venus, hacker sử dụng “donation attack” – chuyển trực tiếp token THE vào hợp đồng vTHE thay vì nạp theo quy trình mint thông thường. Điều này làm tăng tỷ lệ quy đổi được giao thức ghi nhận, qua đó vô hiệu hóa giới hạn nguồn cung.

Kẻ tấn công dường như không thu được lợi nhuận

Sau vòng vay đầu tiên, oracle TWAP của Venus cập nhật giá THE lên khoảng 0,50 USD – vẫn thấp hơn nhiều so với giá bị bơm nhưng gần gấp đôi mức trước khi bị tấn công.

Hacker tiếp tục cố gắng đẩy giá bằng cách mua thêm THE bằng tài sản đã vay. Tuy nhiên, áp lực bán trên thị trường đã khiến kế hoạch thất bại. Chỉ số sức khỏe của vị thế giảm xuống gần mức 1 và kích hoạt thanh lý.

Với khoảng 30 triệu USD tài sản thế chấp danh nghĩa nhưng gần như không có thanh khoản thị trường để hấp thụ, lượng THE bị bán tháo vào sổ lệnh trống. Sau khi thanh lý, giá token lao dốc xuống khoảng 0,24 USD, thấp hơn cả mức trước khi bị thao túng.

Li cho biết phân tích on-chain cho thấy hacker gần như không thu được lợi nhuận và thậm chí có thể bị lỗ. Tuy nhiên, ông cũng lưu ý rằng kẻ tấn công có thể đã mở các vị thế hợp đồng tương lai vĩnh cửu (perpetual futures) trên các sàn giao dịch khác để kiếm lợi từ biến động giá.

Thiệt hại và nguồn vốn của hacker

Theo nhà phân tích blockchain EmberCN, Venus hiện ghi nhận khoảng 2,15 triệu USD nợ xấu, bao gồm:

• 1,18 triệu token CAKE

• 1,84 triệu token THE

Địa chỉ tấn công ban đầu nhận 7.400 ETH từ dịch vụ trộn tiền điện tử Tornado Cash để tài trợ cho chiến dịch.

EmberCN cho biết hacker đã vay khoảng 9,92 triệu USD để thực hiện chiến thuật thao túng, nhưng tổng giá trị tài sản thực tế vay được từ Venus chỉ khoảng 5,07 triệu USD. Do đó, xét riêng trên chuỗi, thương vụ này có vẻ không mang lại lợi nhuận, trừ khi hacker kiếm tiền từ các vị thế giao dịch ngoài chuỗi.

一个从 Tornado 收到 7400 枚 ETH 的地址 (黑客？)，主导了今天晚上 CAKE 和 THE 的抵押品清算事件。
导致了 Venus 产生约 $215 万的清算亏空 (118 万 CAKE+184 万 THE)，而黑客从 Venus 拿到了约 $507 万资金 (2,172 BNB+151.6 万 CAKE+20 BTC)。

1⃣先是通过 0x7a7…234 地址从 Tornado 收到 7,400… pic.twitter.com/W6YwQpKJQF

— 余烬 (@EmberCN) March 15, 2026

Chuỗi sự cố kéo dài nhiều năm

Sự kiện lần này tiếp tục bổ sung vào lịch sử các khoản nợ xấu của Venus:

• Năm 2021: thao túng giá token XVS khiến giao thức phát sinh hơn 95 triệu USD nợ xấu

• Năm 2022: sự sụp đổ của Terra/LUNA khiến Venus gánh thêm 14 triệu USD nợ xấu

• Năm 2022: vụ hack cầu nối BNB Chain, trong đó BNB bị đánh cắp được dùng để vay 150 triệu USD stablecoin

• Tháng 2/2025: một donation attack trên phiên bản Venus triển khai trên ZKSync gây hơn 700.000 USD nợ xấu

• Tháng 9/2025: một vụ phishing trị giá 13,5 triệu USD nhắm vào người dùng Venus buộc giao thức phải tạm dừng hoạt động và thông qua đề xuất khẩn cấp

Đáng chú ý, vector tấn công donation attack từng được nêu trong cuộc kiểm toán bảo mật Code4rena của Venus. Tuy nhiên, đội ngũ phát triển khi đó cho rằng cơ chế “donation” là hành vi được hỗ trợ và không gây tác động tiêu cực.

Thạch Sanh