Moonwell bị khai thác do lỗi feed giá Chainlink trên Base, nâng khống 0,02 wrstETH thành 5,8 triệu USD, cho phép kẻ tấn công vay vượt hạn mức và rút lợi nhuận nhanh.
Sự cố diễn ra chỉ 24 giờ sau khoản thất thoát 128 triệu USD của Balancer, đẩy tổng thiệt hại DeFi vượt 129 triệu USD trong 48 giờ, theo CertiK và DefiLlama.
- Lỗi định giá oracle tạo tài sản thế chấp ảo, giúp kẻ tấn công thu 292 ETH mà không bị thanh lý.
- TVL Moonwell rơi từ 268 triệu USD xuống 213 triệu USD, WELL giảm hơn 12% về khoảng 0,012 USD.
- Moonwell lặp lại rủi ro: 4 sự cố trong 3 năm và từng gỡ bug bounty, trong bối cảnh DeFi mất 129 triệu USD trong 48 giờ.
Moonwell bị khai thác do lỗi oracle Chainlink trên Base
Lỗi tạm thời ở feed giá Chainlink đã định giá sai tài sản thế chấp, mở đường cho tấn công vay vượt hạn mức trên Moonwell, theo quan sát của CertiK.
Kẻ tấn công flashloan khoảng 0,02 wrstETH, đáng giá vài xu, nạp làm tài sản thế chấp. Do trục trặc tạm thời, feed giá lại định giá số tài sản này ở mức 5,8 triệu USD. Giao thức chấp nhận định giá sai và ngay sau đó kẻ tấn công vay hơn 20 wstETH dựa trên tài sản thế chấp bị nâng khống.
CertiK xác nhận lỗi giá oracle là điều kiện kích hoạt vụ việc. Theo báo cáo, mạng oracle cốt lõi của Chainlink vẫn an toàn, nhưng sự cố cho thấy rủi ro phụ thuộc hạ tầng trong lending DeFi.
Lỗi định giá oracle đã cho phép nâng khống tài sản thế chấp
Việc oracle định giá 0,02 wrstETH thành hàng triệu USD khiến cơ chế thế chấp bị phá vỡ, tạo tín dụng ảo cho kẻ tấn công.
Trong điều kiện bình thường, 0,02 wrstETH không đủ tiêu chuẩn vay. Tuy nhiên, định giá sai biến nó thành tài sản “chất lượng cao” trên hệ thống, khiến hạn mức vay bị nới rộng tức thời. Đây là ví dụ điển hình cho rủi ro oracle trong mô hình over-collateralized.
Chuỗi giao dịch flashloan trong ba giờ mang về 292 ETH
Kẻ tấn công lặp lại quy trình 7 lần trong vòng 3 giờ, mỗi vòng thu ròng khoảng 24,5–24,9 ETH, tổng cộng 292 ETH, tương đương khoảng 1,01 triệu USD.
Mọi thao tác được gộp trong các block đơn lẻ, tránh bị cơ chế thanh lý phát hiện. Cách triển khai này tận dụng tốc độ và tính nguyên tử của flashloan, khiến phản ứng tự động của giao thức không kịp kích hoạt các biện pháp bảo vệ.
TVL lao dốc và WELL giảm mạnh sau sự cố
Moonwell chứng kiến dòng vốn rút mạnh ngay sau vụ việc, theo dữ liệu DefiLlama.
TVL của Moonwell giảm từ 268 triệu USD xuống 213 triệu USD, tương đương 55 triệu USD chỉ trong vài giờ. Đồng thời, WELL giảm hơn 12% về khoảng 0,012 USD, trong khi thị trường tiền điện tử rộng hơn cũng giảm hơn 1%. Động thái phản ánh tâm lý né rủi ro với các giao thức chịu ảnh hưởng oracle.
Mẫu hình rủi ro lặp lại cho Moonwell
Đây là sự cố bảo mật lớn thứ 4 của Moonwell trong ba năm, cho thấy rủi ro vận hành tích tụ.
Tháng 12/2024, Moonwell gặp sự cố flashloan trị giá 320.000 USD. Ngày 10/10/2025, xảy ra sự cố oracle 1,7 triệu USD. Ngày 04/11, tiếp tục mất khoảng 1 triệu USD, chỉ 24 ngày sau vụ trước. Đáng chú ý, Moonwell gỡ chương trình bug bounty trên Immunefi vào tháng 02/2025, trước hai vụ việc tổng thiệt hại 2,7 triệu USD.
DeFi mất 129 triệu USD trong 48 giờ
Vụ Moonwell khép lại 48 giờ tồi tệ với hai cú sốc lớn cho DeFi.
Ngày 03/11, Balancer mất 128 triệu USD do lỗ hổng kiểm soát truy cập trên Ethereum, Arbitrum, Base, Optimism, Polygon và Sonic; Berachain phải dừng toàn bộ mạng để hard fork khẩn cấp. Tổng thiệt hại vượt 129 triệu USD chỉ trong hai ngày, với hai kiểu rủi ro khác nhau: lỗi kiểm soát truy cập và lỗi hạ tầng oracle.
Sự cố Balancer là lỗ hổng kiểm soát truy cập đa chuỗi
Hacker tận dụng quyền kiểm soát khống chế để thao túng trên nhiều mạng, gây thiệt hại rất lớn cho Balancer.
Không giống kiểu định giá sai oracle, vấn đề của Balancer nằm ở logic quyền và cấu hình hợp đồng. Quy mô đa chuỗi khiến bề mặt tấn công mở rộng, tăng độ phức tạp khi ứng phó. Trường hợp này nhấn mạnh nhu cầu kiểm định quyền, phân quyền an toàn và quy trình ứng cứu xuyên chuỗi.
Hai vụ việc phơi bày rủi ro hạ tầng và thiết kế giao thức
Cả hai sự cố cho thấy giao thức lớn vẫn dễ tổn thương trước tấn công tinh vi nhắm vào điểm yếu cơ bản.
Với Moonwell, phụ thuộc vào feed giá duy nhất hoặc lớp kiểm tra chưa đủ chặt có thể gây rủi ro hệ thống. Với Balancer, lỗi quyền truy cập cho thấy rủi ro quản trị hợp đồng. Bài học chung: đa dạng hóa nguồn dữ liệu, tăng lớp bảo vệ, và kiểm thử tình huống cực đoan.
So sánh nhanh: Balancer và Moonwell trong tuần thua lỗ
Hai vụ tấn công khác biệt về bản chất, phạm vi và tác động, nhưng đều cho thấy rủi ro hạ tầng là điểm yếu trọng tâm.
| Tiêu chí | Moonwell | Balancer |
|---|---|---|
| Ngày sự cố | 04/11 | 03/11 |
| Thiệt hại ước tính | ≈ 1,01 triệu USD (292 ETH) | ≈ 128 triệu USD |
| Chuỗi ảnh hưởng | Base | Ethereum, Arbitrum, Base, Optimism, Polygon, Sonic |
| Nguyên nhân chính | Định giá sai từ oracle feed | Lỗi kiểm soát truy cập |
| Phương thức | Flashloan, vay vượt hạn mức do tài sản thế chấp bị nâng khống | Khai thác quyền và cấu hình hợp đồng đa chuỗi |
| Tác động thị trường | TVL giảm 55 triệu USD, WELL -12% | Thiệt hại đa chuỗi, gián đoạn dịch vụ, yêu cầu ứng cứu khẩn |
| Nguồn tham chiếu | CertiK, DefiLlama | Các thông tin tổng hợp trong báo cáo sự cố |
Vì sao lỗi oracle nguy hiểm với giao thức lending?
Oracle là điểm tựa định giá tài sản thế chấp; nếu sai lệch, cơ chế an toàn của lending sẽ sụp đổ tức thì.
Chỉ cần một feed bất thường, tài sản kém giá trị bị thổi phồng thành “tài sản thế chấp chất lượng cao”, mở khóa hạn mức vay vượt chuẩn. Triển khai flashloan trong cùng block giúp kẻ tấn công chiếm dụng thanh khoản trước khi hệ thống kịp cập nhật hoặc thanh lý.
Biện pháp giảm thiểu cần triển khai ngay
Các giao thức thường áp dụng nhiều lớp phòng thủ cho rủi ro oracle và quyền truy cập.
Các biện pháp gồm: ràng buộc biên độ giá, kiểm tra độ trễ và độ mới dữ liệu, hợp nhất nhiều nguồn giá, cơ chế circuit breaker, giới hạn vay theo tài sản, guardian pause theo module, kiểm định quyền nghiêm ngặt, diễn tập ứng cứu đa chuỗi, và khuyến khích bug bounty để phát hiện lỗ hổng sớm.
Những câu hỏi thường gặp
Moonwell bị tấn công như thế nào?
Kẻ tấn công lợi dụng feed giá Chainlink bị lỗi, nâng khống 0,02 wrstETH thành 5,8 triệu USD, rồi vay hơn 20 wstETH nhiều vòng trong 3 giờ, thu 292 ETH mà không bị thanh lý. Nguồn: CertiK.
Chainlink có bị xâm nhập không?
Theo CertiK, mạng oracle cốt lõi của Chainlink vẫn an toàn. Sự cố đến từ feed giá tạm thời bị định giá sai, không phải do hạ tầng cốt lõi bị xâm nhập.
Vì sao TVL của Moonwell giảm mạnh?
Sau sự cố, nhà cung cấp thanh khoản rút vốn phòng ngừa rủi ro, kéo TVL từ 268 triệu USD xuống 213 triệu USD trong vài giờ. Dữ liệu: DefiLlama.
Moonwell từng có tiền lệ bảo mật không?
Có. Tháng 12/2024 xảy ra flashloan 320.000 USD; ngày 10/10/2025 gặp sự cố oracle 1,7 triệu USD; ngày 04/11 thêm khoảng 1 triệu USD. Tổng cộng 4 sự cố trong ba năm.
Gỡ bug bounty ảnh hưởng gì đến an toàn?
Việc gỡ chương trình bug bounty (tháng 02/2025) làm giảm động lực để chuyên gia bảo mật tìm lỗ hổng sớm, tăng rủi ro bị khai thác trước khi phát hiện và vá lỗi.
