Token THE của Thena bị tấn công thao túng giá, Venus Protocol bị “vạ lây” và gánh 2 triệu USD nợ xấu

Giao thức cho vay phi tập trung Venus Protocol, nền tảng lending lớn nhất trên hệ sinh thái BNB Chain, vừa ghi nhận khoản nợ xấu ước tính khoảng 2 triệu USD sau một cuộc tấn công thao túng giá nhằm vào token THE của ứng dụng DeFi “siêu ứng dụng” Thena. Sự cố xảy ra vào cuối tuần khi kẻ tấn công lợi dụng thanh khoản on-chain mỏng của THE để thực hiện vòng lặp thao túng oracle quen thuộc trong lĩnh vực tài chính phi tập trung.

Theo các nhà phân tích dữ liệu blockchain, chiến thuật được sử dụng khá điển hình: kẻ tấn công nạp THE làm tài sản thế chấp, vay các loại tài sản khác, sau đó dùng số tiền vay được để mua thêm THE và lặp lại quy trình. Trong khi đó, oracle giá trung bình theo thời gian của Venus dần cập nhật theo mức giá bị “bơm”, khiến giá trị tài sản thế chấp tăng giả tạo. Trước thời điểm xảy ra sự cố, Venus đã niêm yết THE làm tài sản thế chấp trong Core Pool – khu vực thanh khoản chính của giao thức.

Giá THE được cho là đã bị đẩy từ khoảng 0,27 USD lên gần 5 USD chỉ trong thời gian ngắn. Một nhà nghiên cứu on-chain cho biết ông phát hiện dấu hiệu bất thường khi chương trình giám sát tự động phát hiện chênh lệch lớn giữa giá THE trên sàn giao dịch tập trung và phi tập trung. Kịch bản tấn công này có nhiều điểm tương đồng với các vụ thao túng oracle từng xảy ra trong quá khứ của thị trường DeFi, nơi thanh khoản thấp thường bị lợi dụng để tạo biến động giá cực đoan.

Để mở rộng quy mô vượt qua giới hạn cung THE mà Venus cho phép làm tài sản thế chấp, kẻ tấn công đã triển khai kỹ thuật “donation attack”. Thay vì gửi tài sản theo cơ chế mint thông thường, hắn chuyển trực tiếp token THE vào hợp đồng vTHE, qua đó làm sai lệch tỷ giá nội bộ mà giao thức ghi nhận và vô hiệu hóa phần nào cơ chế giới hạn. Venus sau đó xác nhận phát hiện hoạt động bất thường trong pool THE và tạm dừng toàn bộ chức năng vay cũng như rút token này để phục vụ điều tra.

Diễn biến tiếp theo lại cho thấy kẻ tấn công có thể không thu được lợi nhuận như kỳ vọng. Sau vòng vay đầu tiên, oracle giá trung bình của Venus chỉ tăng lên khoảng 0,5 USD – vẫn thấp hơn nhiều so với giá giao ngay bị đẩy lên. Nỗ lực tiếp tục mua THE để duy trì giá cao đã vấp phải áp lực bán lớn từ thị trường. Khi hệ số an toàn tài khoản giảm sát ngưỡng thanh lý, vị thế của kẻ tấn công bị buộc đóng. Do thanh khoản thị trường gần như trống rỗng, lượng THE thế chấp trị giá danh nghĩa hàng chục triệu USD bị bán tháo vào sổ lệnh mỏng, khiến giá token lao dốc xuống khoảng 0,24 USD, thậm chí thấp hơn cả trước khi xảy ra tấn công.

Một số nhà phân tích nhận định kẻ tấn công có thể đã gần như không kiếm được lợi nhuận trực tiếp trên chuỗi, thậm chí có khả năng thua lỗ. Tuy nhiên, không loại trừ khả năng đối tượng đã mở các vị thế phái sinh bán khống trên những nền tảng giao dịch bên ngoài để hưởng lợi từ đà giảm của THE. Thống kê sơ bộ cho thấy khoản nợ xấu mà Venus phải gánh bao gồm hơn một triệu token CAKE và gần hai triệu token THE. Địa chỉ ví liên quan đến vụ việc cũng được phát hiện nhận nguồn vốn ban đầu hàng nghìn ETH từ dịch vụ trộn tiền mã hóa, làm dấy lên nghi vấn về việc che giấu dấu vết.

Sự cố lần này tiếp tục nối dài chuỗi tổn thất của Venus Protocol trong những năm gần đây. Trước đó, giao thức từng gánh khoản nợ xấu lớn sau các vụ thao túng giá token nội bộ, ảnh hưởng từ sự sụp đổ của hệ sinh thái Terra, cũng như tác động gián tiếp từ các cuộc tấn công cầu nối trên BNB Chain. Gần đây hơn, một vụ tấn công theo hình thức “donation attack” tương tự trên triển khai ZKSync của Venus cũng gây thiệt hại hàng trăm nghìn USD, trong khi một vụ lừa đảo phishing nhằm vào người dùng năm 2025 buộc giao thức phải tạm ngừng hoạt động và kích hoạt bỏ phiếu quản trị khẩn cấp.

Điều đáng chú ý là phương thức donation attack vốn đã được cộng đồng bảo mật cảnh báo từ trước trong các giao thức lending phát triển dựa trên mã nguồn của Compound. Trong một cuộc kiểm toán bảo mật trước đây, vấn đề này từng được nêu ra nhưng đội ngũ Venus khi đó cho rằng việc nhận token “donation” là hành vi được hỗ trợ và không gây tác động tiêu cực. Diễn biến mới nhất cho thấy các rủi ro cấu trúc trong DeFi vẫn chưa được xử lý triệt để, đặc biệt khi thị trường ngày càng xuất hiện nhiều token có thanh khoản thấp nhưng lại được dùng làm tài sản thế chấp.