Lỗi Chainlink khiến Moonwell mất 1 triệu USD, DeFi lại bị khai thác

Moonwell bị khai thác do lỗi feed giá Chainlink trên Base, nâng khống 0,02 wrstETH thành 5,8 triệu USD, cho phép kẻ tấn công vay vượt hạn mức và rút lợi nhuận nhanh.

Sự cố diễn ra chỉ 24 giờ sau khoản thất thoát 128 triệu USD của Balancer, đẩy tổng thiệt hại DeFi vượt 129 triệu USD trong 48 giờ, theo CertiK và DefiLlama.

Moonwell bị khai thác do lỗi oracle Chainlink trên Base

Lỗi tạm thời ở feed giá Chainlink đã định giá sai tài sản thế chấp, mở đường cho tấn công vay vượt hạn mức trên Moonwell, theo quan sát của CertiK.

Kẻ tấn công flashloan khoảng 0,02 wrstETH, đáng giá vài xu, nạp làm tài sản thế chấp. Do trục trặc tạm thời, feed giá lại định giá số tài sản này ở mức 5,8 triệu USD. Giao thức chấp nhận định giá sai và ngay sau đó kẻ tấn công vay hơn 20 wstETH dựa trên tài sản thế chấp bị nâng khống.

CertiK xác nhận lỗi giá oracle là điều kiện kích hoạt vụ việc. Theo báo cáo, mạng oracle cốt lõi của Chainlink vẫn an toàn, nhưng sự cố cho thấy rủi ro phụ thuộc hạ tầng trong lending DeFi.

Lỗi định giá oracle đã cho phép nâng khống tài sản thế chấp

Việc oracle định giá 0,02 wrstETH thành hàng triệu USD khiến cơ chế thế chấp bị phá vỡ, tạo tín dụng ảo cho kẻ tấn công.

Trong điều kiện bình thường, 0,02 wrstETH không đủ tiêu chuẩn vay. Tuy nhiên, định giá sai biến nó thành tài sản “chất lượng cao” trên hệ thống, khiến hạn mức vay bị nới rộng tức thời. Đây là ví dụ điển hình cho rủi ro oracle trong mô hình over-collateralized.

Chuỗi giao dịch flashloan trong ba giờ mang về 292 ETH

Kẻ tấn công lặp lại quy trình 7 lần trong vòng 3 giờ, mỗi vòng thu ròng khoảng 24,5–24,9 ETH, tổng cộng 292 ETH, tương đương khoảng 1,01 triệu USD.

Mọi thao tác được gộp trong các block đơn lẻ, tránh bị cơ chế thanh lý phát hiện. Cách triển khai này tận dụng tốc độ và tính nguyên tử của flashloan, khiến phản ứng tự động của giao thức không kịp kích hoạt các biện pháp bảo vệ.

TVL lao dốc và WELL giảm mạnh sau sự cố

Moonwell chứng kiến dòng vốn rút mạnh ngay sau vụ việc, theo dữ liệu DefiLlama.

TVL của Moonwell giảm từ 268 triệu USD xuống 213 triệu USD, tương đương 55 triệu USD chỉ trong vài giờ. Đồng thời, WELL giảm hơn 12% về khoảng 0,012 USD, trong khi thị trường tiền điện tử rộng hơn cũng giảm hơn 1%. Động thái phản ánh tâm lý né rủi ro với các giao thức chịu ảnh hưởng oracle.

Mẫu hình rủi ro lặp lại cho Moonwell

Đây là sự cố bảo mật lớn thứ 4 của Moonwell trong ba năm, cho thấy rủi ro vận hành tích tụ.

Tháng 12/2024, Moonwell gặp sự cố flashloan trị giá 320.000 USD. Ngày 10/10/2025, xảy ra sự cố oracle 1,7 triệu USD. Ngày 04/11, tiếp tục mất khoảng 1 triệu USD, chỉ 24 ngày sau vụ trước. Đáng chú ý, Moonwell gỡ chương trình bug bounty trên Immunefi vào tháng 02/2025, trước hai vụ việc tổng thiệt hại 2,7 triệu USD.

DeFi mất 129 triệu USD trong 48 giờ

Vụ Moonwell khép lại 48 giờ tồi tệ với hai cú sốc lớn cho DeFi.

Ngày 03/11, Balancer mất 128 triệu USD do lỗ hổng kiểm soát truy cập trên Ethereum, Arbitrum, Base, Optimism, Polygon và Sonic; Berachain phải dừng toàn bộ mạng để hard fork khẩn cấp. Tổng thiệt hại vượt 129 triệu USD chỉ trong hai ngày, với hai kiểu rủi ro khác nhau: lỗi kiểm soát truy cập và lỗi hạ tầng oracle.

Sự cố Balancer là lỗ hổng kiểm soát truy cập đa chuỗi

Hacker tận dụng quyền kiểm soát khống chế để thao túng trên nhiều mạng, gây thiệt hại rất lớn cho Balancer.

Không giống kiểu định giá sai oracle, vấn đề của Balancer nằm ở logic quyền và cấu hình hợp đồng. Quy mô đa chuỗi khiến bề mặt tấn công mở rộng, tăng độ phức tạp khi ứng phó. Trường hợp này nhấn mạnh nhu cầu kiểm định quyền, phân quyền an toàn và quy trình ứng cứu xuyên chuỗi.

Hai vụ việc phơi bày rủi ro hạ tầng và thiết kế giao thức

Cả hai sự cố cho thấy giao thức lớn vẫn dễ tổn thương trước tấn công tinh vi nhắm vào điểm yếu cơ bản.

Với Moonwell, phụ thuộc vào feed giá duy nhất hoặc lớp kiểm tra chưa đủ chặt có thể gây rủi ro hệ thống. Với Balancer, lỗi quyền truy cập cho thấy rủi ro quản trị hợp đồng. Bài học chung: đa dạng hóa nguồn dữ liệu, tăng lớp bảo vệ, và kiểm thử tình huống cực đoan.

So sánh nhanh: Balancer và Moonwell trong tuần thua lỗ

Hai vụ tấn công khác biệt về bản chất, phạm vi và tác động, nhưng đều cho thấy rủi ro hạ tầng là điểm yếu trọng tâm.

Vì sao lỗi oracle nguy hiểm với giao thức lending?

Oracle là điểm tựa định giá tài sản thế chấp; nếu sai lệch, cơ chế an toàn của lending sẽ sụp đổ tức thì.

Chỉ cần một feed bất thường, tài sản kém giá trị bị thổi phồng thành “tài sản thế chấp chất lượng cao”, mở khóa hạn mức vay vượt chuẩn. Triển khai flashloan trong cùng block giúp kẻ tấn công chiếm dụng thanh khoản trước khi hệ thống kịp cập nhật hoặc thanh lý.

Biện pháp giảm thiểu cần triển khai ngay

Các giao thức thường áp dụng nhiều lớp phòng thủ cho rủi ro oracle và quyền truy cập.

Các biện pháp gồm: ràng buộc biên độ giá, kiểm tra độ trễ và độ mới dữ liệu, hợp nhất nhiều nguồn giá, cơ chế circuit breaker, giới hạn vay theo tài sản, guardian pause theo module, kiểm định quyền nghiêm ngặt, diễn tập ứng cứu đa chuỗi, và khuyến khích bug bounty để phát hiện lỗ hổng sớm.

Những câu hỏi thường gặp

Moonwell bị tấn công như thế nào?

Kẻ tấn công lợi dụng feed giá Chainlink bị lỗi, nâng khống 0,02 wrstETH thành 5,8 triệu USD, rồi vay hơn 20 wstETH nhiều vòng trong 3 giờ, thu 292 ETH mà không bị thanh lý. Nguồn: CertiK.

Chainlink có bị xâm nhập không?

Theo CertiK, mạng oracle cốt lõi của Chainlink vẫn an toàn. Sự cố đến từ feed giá tạm thời bị định giá sai, không phải do hạ tầng cốt lõi bị xâm nhập.

Vì sao TVL của Moonwell giảm mạnh?

Sau sự cố, nhà cung cấp thanh khoản rút vốn phòng ngừa rủi ro, kéo TVL từ 268 triệu USD xuống 213 triệu USD trong vài giờ. Dữ liệu: DefiLlama.

Moonwell từng có tiền lệ bảo mật không?

Có. Tháng 12/2024 xảy ra flashloan 320.000 USD; ngày 10/10/2025 gặp sự cố oracle 1,7 triệu USD; ngày 04/11 thêm khoảng 1 triệu USD. Tổng cộng 4 sự cố trong ba năm.

Gỡ bug bounty ảnh hưởng gì đến an toàn?

Việc gỡ chương trình bug bounty (tháng 02/2025) làm giảm động lực để chuyên gia bảo mật tìm lỗ hổng sớm, tăng rủi ro bị khai thác trước khi phát hiện và vá lỗi.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.