Giao thức DeFi Resupply thiệt hại 9,6 triệu USD do một lỗ hổng thao túng giá, phơi bày rủi ro từ tài sản tổng hợp và các cơ chế oracle.
Giao thức tài chính phi tập trung (DeFi) Resupply vừa xác nhận một sự cố bảo mật nghiêm trọng tại thị trường wstUSR, gây thiệt hại khoảng 9,6 triệu USD. Sự cố này làm nổi bật những rủi ro cố hữu trong các giao thức DeFi phức tạp, đặc biệt là các hệ thống dựa trên tài sản tổng hợp và cơ chế oracle.
Theo báo cáo của công ty an ninh blockchain Cyvers, kẻ tấn công đã lợi dụng một lỗ hổng trong hợp đồng ResupplyPair liên quan đến việc tích hợp một loại stablecoin tổng hợp, cho phép thao túng giá trị cổ phần một cách giả tạo.
“Nhờ đó, kẻ tấn công có thể vay 10 triệu reUSD với tài sản thế chấp tối thiểu,” Meir Dolev, CTO của Cyvers, nhận định. Nguồn tiền ban đầu được xác định đến từ Tornado Cash, và số tiền bị đánh cắp đã nhanh chóng được chuyển đổi sang Ether và phân tán ra nhiều địa chỉ khác nhau.
Vụ việc này là điển hình cho loại hình tấn công kinh tế trong không gian DeFi, nơi mà logic của hợp đồng thông minh bị khai thác hơn là việc các giao thức bị tấn công bằng mã độc trực tiếp.
Ông Dolev nhấn mạnh rằng sự cố hoàn toàn có thể được ngăn chặn bằng các biện pháp bảo mật cơ bản như xác thực đầu vào, kiểm tra chéo dữ liệu oracle, và kiểm thử kỹ lưỡng các tình huống đặc biệt. Việc bổ sung các bước kiểm tra logic trong hợp đồng và giám sát giao dịch bất thường theo thời gian thực sẽ giảm thiểu đáng kể nguy cơ này.
Để hạn chế tổn thất, Resupply đã lập tức tạm dừng các hợp đồng bị ảnh hưởng và cam kết công bố một báo cáo phân tích chi tiết về vụ việc. Tuy nhiên, đây cũng là lời nhắc nhở về những thách thức an ninh mà toàn ngành crypto phải đối mặt trong năm 2025. Theo CertiK, tổng thiệt hại từ các vụ tấn công crypto đã vượt 2,1 tỷ USD tính đến thời điểm hiện tại.
Các chuyên gia an ninh cũng chỉ ra rằng, chiến thuật tấn công đang chuyển hướng sang kỹ nghệ xã hội và tấn công chuỗi cung ứng ngày càng phổ biến hơn. Vụ việc mới đây tại Fuzzland, khi một cựu nhân viên bị phát hiện đứng sau một cuộc tấn công trị giá 2 triệu USD, cho thấy ngay cả các mối đe dọa từ bên trong cũng ngày càng tinh vi, đòi hỏi các giao thức cần áp dụng chiến lược bảo mật đa lớp và toàn diện hơn.
