Bị biến thành máy rút tiền cho hacker nhưng vẫn đứng vững, sự xấu hổ của DeFi thể hiện qua vụ trộm Venus
vô giá trị
Tác giả: Gu Yu, ChainCatcher
Tin tặc là kẻ thù truyền kiếp của bất kỳ giao thức DeFi nào. Hầu hết các giao thức DeFi sẽ sụp đổ và suy tàn sau khi đối mặt với tổn thất hàng triệu đô la do tấn công. Tuy nhiên, với tư cách là giao thức cho vay hàng đầu của BNB Chain và là dự án ươm tạo nội bộ của Binance, Venus Protocol rõ ràng là một ngoại lệ hiếm hoi.
Venus được phát triển lần đầu tiên bởi nhóm Swipe được Binance mua lại vào năm 2020 Chuỗi BNB. Nó được phát hành một tháng sau khi mạng chính thức trực tuyến và nhanh chóng đã trở thành thỏa thuận cho vay với tài sản bị khóa và người dùng lớn nhất trên Chuỗi BNB. Theo RootData, token Venus FDV hiện tại có giá 94 triệu USD và TVL là 1,47 tỷ USD.
Gần đây, Venus một lần nữa trở thành mục tiêu tấn công của hacker. Theo đánh giá chính thức của nhóm, kẻ tấn công bắt đầu tích lũy dần dần mã thông báo THE thông qua quy trình gửi tiền thông thường vào tháng 6 năm 2025 và cuối cùng nắm giữ khoảng 12,2 triệu mã thông báo THE, trị giá 2,4 triệu USD.
Vào ngày 15 tháng 3, cuộc tấn công đã gửi trực tiếp tất cả các token THE làm tài sản thế chấp vào hợp đồng cho vay, sử dụng tính thanh khoản cực thấp trên chuỗi kết hợp với TWAP sự chậm trễ của oracle, thao túng giá theo chu kỳ đệ quy và cho vay các tài sản trị giá hàng triệu đô la như BTC, BNB và CAKE.
Khi sự sụp đổ giá cả gây ra một loạt các vụ thanh lý, sự cố cuối cùng đã khiến Venus phải gánh khoản nợ khó đòi khoảng 2,15 triệu USD. Nhìn lại lịch sử vài năm trở lại đây, hầu như năm nào Venus cũng bị hacker tấn công, đặc biệt là các cuộc tấn công oracle khiến Venus phải gánh khoản nợ khó đòi hơn 100 triệu USD.
Sự cố thao túng giá XVS Oracle
Vào tháng 5 năm 2021, kẻ tấn công đã lợi dụng tình trạng thiếu thanh khoản tương đối của mã thông báo XVS trên các sàn giao dịch tập trung (chủ yếu là Binance) để đẩy giá XVS từ khoảng 70 USD lên hơn 140 USD trong một khoảng thời gian ngắn. The attacker then used the XVS it held as collateral to lend a large amount of high-quality assets (approximately 2,000 BTC and 5,700 ETH) from the Venus protocol.
Sau đó, giá của XVS đã lao dốc, với mức thấp nhất giảm xuống còn 31 USD, gây ra tình trạng thanh lý quy mô lớn. Giao thức Venus phải gánh khoản nợ khó đòi hơn 95 triệu USD do tính thanh khoản của thị trường không thể hỗ trợ cho một đợt bán thanh lý lớn như vậy.
Thỏa thuận được công bố sau sự cố Vuốt Nhóm đã thoát khỏi quyền quản lý và một hội đồng mới được thành lập bởi các thành viên cộng đồng đã tiếp quản quyền quản trị giao thức tiếp theo, nhưng vẫn có một nền tảng Binance mạnh mẽ.
Lỗi LUNA
Vào tháng 5 năm 2022, trong sự kiện LUNA sụp đổ tháng đó, giá thực của LUNA nhanh chóng giảm xuống dưới 0,1 USD trong một khoảng thời gian ngắn thời gian. Tuy nhiên, do nhà tiên tri Chainlink đã ngừng cập nhật sau khi giá giảm xuống một ngưỡng cụ thể (0,10 đô la), giao thức Venus vẫn nhận được các khoản thế chấp LUNA ở mức “giá cao” không chính xác là 0,1 đô la.
Sau khi phát hiện ra lỗ hổng, kẻ tấn công đã mua một lượng lớn LUNA từ thị trường thứ cấp với giá thấp và gửi nó vào Venus, cầm cố và vay các tài sản khác tại giá trị tăng cao, khiến giao thức một lần nữa phải chịu khoản nợ khó đòi hơn 11,2 triệu USD.
Sự cố Binance Oracle
Vào tháng 12 năm 2023, do Venus sử dụng dữ liệu nguồn cấp giá của Binance Oracle trong nhóm cho vay tách biệt của snBNB, một tài sản có tính thanh khoản thấp, nên những kẻ tấn công đã mua vào nhóm PancakeSwap snBNB cực nhỏ, do độ sâu cực kỳ yếu nên giá của snBNB ngay lập tức tăng lên mức nực cười. cấp độ.
Kẻ tấn công sau đó đã gửi 0,49 snBNB và cho vay gần như tất cả tài sản có sẵn trong nhóm bao gồm WBNB, BNBx, ankrBNB, v.v.), với tổng giá trị khoảng 274.000 USD, sau đó được rửa thông qua cầu nối chuỗi. Cuối cùng, ban quản trị Venus đã thông qua một đề xuất và sử dụng quỹ kho bạc để trang trải toàn bộ khoản nợ khó đòi.
Sự cố thao túng giá của wUSDM Oracle
Vào tháng 2 năm 2024, kẻ tấn công đã khai thác lỗ hổng giao thức ERC-4626 để khiến giá của wUSDM stablecoin do Mountain Protocol phát hành tăng lên 1,7 USD trong một khoảng thời gian ngắn. Sau đó, kẻ tấn công ở Venus Một lượng nhỏ wUSDM được gửi vào giao thức.
Vì oracle đọc được "giá cao giả" bị thao túng nên kẻ tấn công đã sử dụng những wUSDM này với giá trị tăng cao Tài sản thế chấp, vay các tài sản khác có giá trị cao hơn trong nhóm (chẳng hạn như USDC, ETH, v.v.). Khi giá wUSDM giảm trở lại mức bình thường là 1 USD, những kẻ tấn công đã chuyển tài sản cho vay và không bao giờ trả lại, khiến Venus phải gánh khoản nợ khó đòi khoảng 716.000 USD sau khi thanh lý giao dịch.
Quản trị cộng đồng Tranh chấp
Ngoài các sự cố tấn công nêu trên, Venus vào tháng 9 năm 2021 Vào tháng 5, một sự cố quản trị đã làm dấy lên nghi ngờ từ thế giới bên ngoài. Vào thời điểm đó, một người dùng cộng đồng Venus đã đăng một đề xuất có tiêu đề "Thành lập Nhóm Bravo", nhằm mục đích cung cấp cho nhóm khả năng bỏ phiếu và gây quỹ tương tự như nhóm quản trị ban đầu.
Tuy nhiên, người khởi xướng bị nghi ngờ xúi giục bỏ phiếu bằng cách hứa phân phối mã thông báo. Theo mô tả đề xuất, trong số 1,9 triệu token XVS sẽ được huy động, nhóm Bravo sẽ phân phối 900.000 XVS (29 triệu USD) cho những địa chỉ bỏ phiếu ủng hộ. Cuối cùng, vào lúc 22h33 ngày 14/9, đề xuất này đã được thông qua với 1,29 triệu phiếu ủng hộ và 1,19 triệu phiếu phản đối.
Theo triết lý ngành, nhóm nên triển khai các đề xuất quản trị trên chuỗi sau khi được bỏ phiếu, nhưng Venus Nhóm đã "hủy" nghị quyết bằng một nhấp vào, nói rằng nó nhằm mục đích ngăn chặn những người ẩn danh kiểm soát giao thức thông qua hối lộ. Đây là một trong số rất ít trường hợp trong ngành DeFi cho đến nay có các đề xuất hoặc phiếu bầu quản trị trên chuỗi đã được thông qua nhưng không được thực hiện.
Ngoài ra, vào tháng 9 năm 2025, giao thức Venus cũng bị thiệt hại người dùng hơn 1.300 A$10.000 sự cố bảo mật, nhưng điều này chủ yếu là do giao diện người dùng máy tính của người dùng bị tin tặc giả mạo, khiến họ phải ký một giao dịch "ủy quyền địa chỉ (đại biểu)", chứ không phải do lỗ hổng của chính Venus.
Tại sao sao Kim trở thành "người sống sót"
Nhìn vào những sự cố tấn công này, có thể gọi Venus là "người sống sót" hiếm hoi trong lĩnh vực mã hóa và có thể đã trở thành dự án "có kinh nghiệm nhất" trong việc đối phó với các cuộc tấn công của hacker. Điều này phần lớn là do Binance, với tư cách là gã khổng lồ về tiền điện tử, tiếp tục hỗ trợ Venus về nguồn lực và thương hiệu. Ngay cả với rất nhiều sự cố bảo mật, Binance vẫn trực tiếp hướng dẫn người dùng sàn giao dịch gửi tiền vào Venus thông qua chức năng quản lý tài chính để thu được lợi nhuận cao hơn.
Thống kê TVL trên chuỗi của Venus Nguồn: DeFillama
Như chúng ta đã biết, Binance có tiếng nói tuyệt đối trong hệ sinh thái Chuỗi BNB. Là người hỗ trợ chính cho Binance trong lĩnh vực cho vay, Venus luôn có khả năng nghiêng về sinh thái và hấp thụ rủi ro mà hầu hết các dự án DeFi khác không có, ngay cả khi có thể xuất hiện một loạt rủi ro bảo mật.
Từ góc độ ngành, lỗ hổng của DeFi cũng được nêu rõ trong những trường hợp này. Cho dù đó là sự chậm trễ của oracle, tài sản có tính thanh khoản thấp, thao túng giá hay sơ hở trong cơ chế quản trị, những vấn đề này đã xuất hiện nhiều lần trong lịch sử của Venus và thậm chí nhiều dự án DeFi hơn.
Trong DeFi tự động hóa cao Trong hệ thống, miễn là có lỗi thiết kế trong một liên kết nhất định, kẻ tấn công thường có thể sử dụng sự khác biệt về giá, thanh khoản hoặc thời gian để xây dựng các tổ hợp phức tạp các cuộc tấn công chênh lệch giá.
Khả năng tiếp tục tồn tại của sao Kim sau nhiều cuộc khủng hoảng chủ yếu dựa vào sự hỗ trợ sinh thái mạnh mẽ và khả năng bồi thường tài chính. Nhưng đối với phần lớn các dự án DeFi, một cuộc tấn công trị giá hàng chục triệu đô la thường đủ để khiến toàn bộ giao thức kết thúc.
“Ngoại lệ” của Venus không chỉ xác nhận khả năng bảo vệ dự án của hệ sinh thái đầu mà còn làm nổi bật DeFi. hệ thống bảo mật - khi bảo mật chỉ có thể dựa vào những "đảm bảo khổng lồ" thay vì kiểm soát rủi ro và cơ chế đảm bảo của chính giao thức, thì bảo mật thực sự của DeFi vẫn còn một chặng đường dài phía trước.
