Giao thức cho vay dựa trên Hedera Bonzo Lend đã mất khoảng 9 triệu USD sau khi kẻ tấn công thao túng giá token SAUCE được dùng làm tài sản thế chấp, cho phép tài khoản vay các tài sản vượt xa giá trị đã nạp. Trong bản báo cáo sự cố sơ bộ công bố vào thứ Bảy, Bonzo cho rằng vụ xâm nhập xuất phát từ một lỗ hổng trong bộ xác minh oracle on-chain của Supra, vốn chấp nhận mức giá SAUCE đã bị thao túng kèm chữ ký bị làm rỗng. Lỗ hổng được khai thác trong quý 2, trở thành quý bị tấn công nhiều nhất theo ghi nhận với 83 vụ và khoảng 755 triệu USD bị đánh cắp trên các nền tảng tài chính phi tập trung.
Kẻ tấn công đã nạp 250 token SAUCE, trị giá chỉ vài đô la, trước khi gửi một cập nhật giá làm thổi phồng giá trị token lên khoảng 12 bậc độ lớn. Sau đó, ví đã vay 6,63 triệu USDC và 34,5 triệu HBAR bọc (wrapped) từ nhóm cho vay. Khi oracle chấp nhận mức giá đã bị thổi phồng, phần nạp có giá trị thấp của kẻ tấn công trông như thể có thể chống đỡ cho năng lực vay lên tới hàng triệu đô la.
Bonzo cho biết sự cố không do lỗ hổng trong hợp đồng thông minh của Bonzo Lend hoặc mạng lõi của Hedera. Nền tảng này cho biết Supra đã thừa nhận vấn đề và triển khai bản vá.
Lỗi oracle đặc biệt nguy hiểm trong cho vay phi tập trung vì giá trị tài sản thế chấp quyết định người dùng có thể vay bao nhiêu. Nếu một giao thức chấp nhận mức giá sai, nó có thể coi gần như không đáng giá là đủ để bảo đảm cho các khoản vay lớn. Kẻ tấn công không cần bẻ gãy trực tiếp nhóm cho vay—kẻ tấn công chỉ cần thuyết phục giao thức rằng tài sản thế chấp đáng giá cao hơn nhiều so với giá trị thị trường thực.
Khoản nạp SAUCE ban đầu chỉ có giá trị nhỏ, nhưng mức giá bị thao túng đã biến nó thành nguồn lực vay mượn có vẻ như khổng lồ. Nhóm cho vay sau đó đã giải phóng tài sản thanh khoản đối ứng với tài sản thế chấp không thể gánh nổi khoản nợ. Nhiều giao thức tập trung vào kiểm toán hợp đồng thông minh và logic ứng dụng, nhưng thị trường cho vay chỉ an toàn bằng hệ thống định giá mà chúng dựa vào.
Quý 2 có 83 vụ khai thác và khoảng 755 triệu USD bị đánh cắp. Các vụ khai thác cầu nối xuyên chuỗi (cross-chain bridge) chiếm 351 triệu USD, trong khi các cuộc tấn công vào quản trị viên bị xâm phạm và thao túng giá token giả chiếm 37% tổng thiệt hại trong quý. CryptoRank ghi nhận 121 vụ hack và khoảng 942 triệu USD thiệt hại trong cùng giai đoạn.
Dòng vốn cũng đang rời khỏi lĩnh vực này. Tổng giá trị tài sản được khóa (TVL) của DeFi giảm 39% xuống hơn 70 tỷ USD vào tháng 6 so với khoảng 115 tỷ USD vào tháng 1. Các sự cố bảo mật lặp lại có lẽ đã làm suy giảm niềm tin của người dùng và củng cố tình trạng rút vốn.
Vào tháng 2, kẻ tấn công đã rút cạn khoảng 10 triệu USD từ một nhóm cho vay do DAO của YieldBlox quản lý sau khi thao túng lộ trình giá được dùng để định giá tài sản thế chấp USTRY. Sự thao túng này cho phép chúng vay các tài sản vượt quá giá trị thực của token. Điểm tương đồng quan trọng vì cho thấy các điểm yếu ở oracle và lộ trình giá không chỉ bị cô lập ở một chuỗi hay một thị trường cho vay.
Bất kỳ giao thức nào chấp nhận giá trị tài sản thế chấp từ các hệ thống bên ngoài đều phải được bảo vệ trước các mức giá sai, dữ liệu trễ, lỗi chữ ký, thanh khoản mỏng và các đường định tuyến bị thao túng. Xác minh oracle, giới hạn tài sản thế chấp, bộ ngắt mạch (circuit breakers) và cơ chế tạm dừng nhanh là các lớp phòng vệ cốt lõi nhằm ngăn các cuộc tấn công biến khoản nạp nhỏ thành yêu cầu thanh toán lớn từ thanh khoản.
Điều gì gây ra khoản lỗ 9 triệu USD của Bonzo Lend?
Bonzo Lend đã mất khoảng 9 triệu USD sau khi kẻ tấn công thao túng giá token SAUCE được dùng làm tài sản thế chấp. Kẻ tấn công đã nạp 250 token SAUCE trị giá chỉ vài đô la, sau đó gửi một cập nhật giá làm thổi phồng giá trị token lên khoảng 12 bậc độ lớn, cho phép vay 6,63 triệu USDC và 34,5 triệu HBAR bọc. Bonzo cho rằng sự cố xuất phát từ một lỗ hổng trong bộ xác minh oracle on-chain của Supra, bộ này đã chấp nhận mức giá SAUCE bị thao túng kèm chữ ký bị làm rỗng.
Có bao nhiêu vụ khai thác DeFi xảy ra trong quý 2?
Quý 2 ghi nhận 83 vụ khai thác với khoảng 755 triệu USD bị đánh cắp trên các nền tảng tài chính phi tập trung. Các vụ khai thác cầu nối xuyên chuỗi chiếm 351 triệu USD trong tổng số, trong khi các cuộc tấn công vào quản trị viên bị xâm phạm và thao túng giá token giả chiếm 37% tổng thiệt hại trong quý. CryptoRank ghi nhận 121 vụ hack và khoảng 942 triệu USD thiệt hại trong cùng giai đoạn.
Tin tức liên quan
Các tác nhân AI của Quỹ Ethereum phát hiện lỗ hổng CVE-2026-34219 trong mã libp2p
Ledger Donjon tiết lộ lỗ hổng đặt lại mật khẩu của thẻ Tangem thông qua tấn công bằng laser
Immunefi: Trong nửa đầu năm 2023, có 207 vụ tấn công hacker trong lĩnh vực tiền điện tử, thiệt hại 9,72 tỷ USD
Nhà giao dịch mất 1 triệu USD trong vụ tấn công lừa đảo Permit2 của Uniswap