Người dùng Venus Protocol thiệt hại 27 triệu USD do phishing

Một nhà giao dịch DeFi vừa mất 27 triệu USD tiền điện tử do ký nhầm phê duyệt độc hại, theo cảnh báo on-chain của PeckShield.

Sự cố xảy ra trên Venus Protocol không bắt nguồn từ lỗi hợp đồng thông minh, mà do tấn công phishing khiến nạn nhân chấp thuận giao dịch độc hại, tạo quyền rút tài sản.

Vụ mất 27 triệu USD diễn ra như thế nào?

Nạn nhân đã ký phê duyệt cho một giao dịch độc hại, tạo điều kiện để kẻ tấn công rút stablecoin và tài sản bọc từ ví, theo PeckShield.

PeckShield báo cáo người dùng Venus Protocol bị đánh cắp tài sản trị giá 27 triệu USD qua một cuộc tấn công phishing. Đây là hình thức giả mạo nguồn tin cậy để lừa nạn nhân cấp quyền hoặc tiết lộ thông tin, phổ biến trong DeFi do cơ chế phê duyệt on-chain.

Dữ liệu on-chain cho thấy ví bị xâm phạm nắm khoảng 19,8 triệu vUSDT và 7,15 triệu vUSDC trước khi bị hút cạn sau khi ký phê duyệt độc hại. Các Token vAsset đại diện cho tài sản gửi trên Venus, nên khi phê duyệt sai, kẻ tấn công có thể thao túng quyền rút/ghi nợ.

Vì sao đây là tấn công phishing chứ không phải lỗi hợp đồng thông minh?

Venus Protocol khẳng định không có lỗ hổng trong hợp đồng thông minh và khả năng cao là lỗi do người dùng ký nhầm phê duyệt cho kẻ tấn công.

Tài khoản chính thức của Venus trên X phản hồi rằng đây có vẻ là sai sót phía người dùng. Trong các vụ phishing, kẻ tấn công thường giả mạo dApp, airdrop, bot hỗ trợ, hoặc trang signature để đánh lừa hành vi ký, chứ không cần khai thác bug logic của hợp đồng.

Các cuộc tấn công dựa trên social engineering ngày càng tinh vi với domain giả, chữ ký Permit, và giao diện giống hệt dApp thật. Điều này khiến các dự án phải đẩy mạnh cảnh báo, còn người dùng cần xác thực domain, nội dung transaction và hạn mức phê duyệt.

“Hiện tại, đúng vậy, có vẻ đây là trường hợp như vậy. Chúng tôi sẽ tiếp tục cập nhật trong quá trình điều tra. Giao thức đang tạm dừng trong khi thực hiện rà soát bảo mật.”
– Venus Protocol, tài khoản chính thức trên X, đầu tháng 9, nguồn: https://x.com/VenusProtocol/status/1962823056092733864

Venus Protocol tạm dừng giao thức để làm gì?

Việc tạm dừng là biện pháp phòng ngừa để rà soát bảo mật toàn diện, đảm bảo không có rủi ro lan rộng đến người dùng khác.

Khi xuất hiện nghi ngờ về an toàn, một số giao thức áp dụng cơ chế pause để kiểm tra luồng phê duyệt, vai trò guardian, và các cấu hình rủi ro. Điều này giúp cô lập tác động, đồng thời truyền thông rõ với cộng đồng nhằm giảm hoang mang và ngăn phát tán thêm chiêu trò giả mạo.

Trong bối cảnh phishing tăng mạnh, việc pause chủ động thể hiện ưu tiên an toàn. Sau rà soát, giao thức thường công bố báo cáo tóm tắt, khuyến nghị người dùng thu hồi quyền đã cấp và cập nhật danh sách domain chính thức.

Những tài sản nào bị rút khỏi ví nạn nhân?

Các tài sản bị rút chủ yếu là vUSDT và vUSDC trên Venus, tương ứng với khoản gửi vào giao thức của nạn nhân.

On-chain ghi nhận khoảng 19,8 triệu vUSDT và 7,15 triệu vUSDC bị hút sau khi nạn nhân ký phê duyệt độc hại. vAsset phản ánh quyền đối với tài sản cơ sở; vì vậy, nếu quyền chi tiêu/thu hồi bị cấp sai, kẻ tấn công có thể chuyển đổi quyền sở hữu thực tế của tài sản underlying.

Với stablecoin, thiệt hại tính theo USD thường sát với mệnh giá, khiến tổng tổn thất nhìn thấy được gần như tức thì và ít phụ thuộc biến động giá thị trường so với tài sản biến động cao.

Xu hướng tấn công đầu tháng 9 có gì đáng lo?

Ngoài vụ Venus, nhiều sự cố đầu tháng 9 tiếp tục cho thấy đà leo thang: WLFI bị ví phishing và Bunni DEX tạm dừng sau khai thác hợp đồng.

Theo SlowMist founder Yu Xian, holder Token quản trị của World Liberty Financial (WLFI) bị tấn công bởi ví phishing đã biết. Cùng ngày, Bunni DEX dừng tất cả chức năng vì sự cố bảo mật trên hợp đồng Ethereum, với ước tính thiệt hại khoảng 2,3 triệu USD theo BlockSec Phalcon.

Đáng chú ý, các cuộc tấn công đầu tháng 9 nối tiếp chuỗi thiệt hại hàng chục triệu USD trong tháng 8, khi thị trường ghi nhận hơn 163 triệu USD thất thoát trên 16 vụ. Theo ngành, khai thác thường tăng khi giá tăng, do động lực lợi nhuận cao hơn và hoạt động on-chain sôi động.

Bunni DEX mất khoảng 2,3 triệu USD: Ảnh hưởng ra sao?

BlockSec Phalcon ước tính thiệt hại của Bunni khoảng 2,3 triệu USD, kéo theo việc tạm dừng toàn bộ chức năng hợp đồng để khoanh vùng rủi ro.

Việc dừng hoạt động giúp dự án ngăn kẻ tấn công khai thác thêm lỗ hổng, đồng thời triển khai vá lỗi, audit nhanh và khắc phục hệ quả. Với DEX, dừng hợp đồng có thể ảnh hưởng thanh khoản tạm thời nhưng là quyết định cần thiết để bảo toàn tài sản còn lại.

Sau sự cố, các dự án thường phối hợp công ty bảo mật để phân tích root cause, trích xuất địa chỉ tấn công, khuyến nghị người dùng thu hồi quyền và cập nhật phiên bản hợp đồng an toàn hơn.

“Chúng tôi ước tính giao thức thiệt hại khoảng 2,3 triệu USD trong vụ khai thác này.”
– BlockSec Phalcon, thông báo trên X về sự cố Bunni, đầu tháng 9, nguồn: https://x.com/Phalcon_xyz/status/1962743751568433416

WLFI bị ví phishing: Bài học nào cho cộng đồng?

Vụ WLFI cho thấy ví phishing có thể nhắm vào holder Token quản trị, lợi dụng hành vi ký nhanh khi tham gia đề xuất/airdrop.

Kẻ tấn công thường phát tán link giả mạo trong kênh cộng đồng, DM, hoặc tài khoản mạo danh admin. Khi người dùng kết nối ví và ký, quyền cấp cho hợp đồng giả có thể cho phép chi tiêu Token quản trị hoặc chuyển nhượng.

Cộng đồng cần ưu tiên xác thực domain chính thức, kiểm tra chi tiết chữ ký, và hạn chế quyền theo địa chỉ cụ thể. Các dự án nên kích hoạt cảnh báo phishing, công bố danh sách domain, và xác minh tài khoản quản trị nhiều lớp.

Làm sao người dùng giảm rủi ro ký phê duyệt độc hại?

Nguyên tắc cốt lõi là kiểm tra kỹ quyền, hạn mức và địa chỉ chi tiêu trước khi ký, đồng thời thường xuyên thu hồi quyền không cần thiết.

Thực hành an toàn gồm: chỉ truy cập domain chính thức qua nguồn đã xác minh; đọc kỹ nội dung transaction/permit; đặt hạn mức phê duyệt thấp; tách ví nóng để tương tác và ví lạnh lưu trữ; dùng danh sách cảnh báo domain; bật cảnh báo trên ví và trình duyệt.

Công cụ hữu ích: Etherscan Token Approval Checker, BscScan Token Approval, và các tiện ích quản lý approve/revoke như Revoke.cash. Luôn kiểm tra địa chỉ hợp đồng và tính xác thực của dApp trước khi cấp quyền không giới hạn.

Doanh nghiệp DeFi cần chuẩn bị gì trước làn sóng tấn công?

Ưu tiên phòng thủ chiều sâu: pause/guardian rõ ràng, giám sát on-chain theo thời gian thực, và kịch bản ứng cứu sự cố đã diễn tập.

Các bước then chốt: kiểm toán đa lớp bởi bên thứ 3, chương trình bounty đang hoạt động, mô phỏng tấn công ký phê duyệt, hạn chế quyền admin, và công bố minh bạch sau sự cố. Truyền thông nhanh, kênh chính thức nhất quán giúp giảm thiểu phishing mạo danh.

Song song, thiết lập quan hệ với nhà cung cấp bảo mật (PeckShield, SlowMist, BlockSec…) để rút ngắn thời gian phát hiện và phối hợp chặn dòng tiền, nâng cao khả năng truy vết và phục hồi.

Bảng tóm tắt một số sự cố đầu tháng 9

Bảng sau tổng hợp nhanh các dữ liệu chính, dựa trên nguồn cảnh báo an ninh được dẫn:

Những câu hỏi thường gặp

Phishing trong DeFi là gì?

Đó là kỹ thuật lừa người dùng ký giao dịch hoặc cấp quyền chi tiêu cho hợp đồng/địa chỉ giả mạo, từ đó kẻ tấn công có thể rút tài sản. Thủ thuật thường là trang dApp giả, airdrop mồi nhử, hoặc DM mạo danh.

Làm sao kiểm tra và thu hồi quyền phê duyệt Token?

Dùng công cụ như Etherscan/BscScan Token Approval hoặc Revoke.cash để rà soát và thu hồi quyền đã cấp. Chỉ giữ quyền cần thiết, đặt hạn mức thấp và kiểm tra định kỳ.

vUSDT, vUSDC trên Venus là gì?

Đó là Token đại diện (voucher) cho khoản gửi USDT/USDC trong Venus. Người sở hữu vAsset có quyền quy đổi về tài sản cơ sở tương ứng, nên mất quyền đối với vAsset có thể dẫn đến mất tài sản underlying.

Tại sao Venus Protocol tạm dừng giao thức?

Để rà soát bảo mật phòng ngừa, giảm rủi ro lan rộng và bảo vệ người dùng trong quá trình điều tra. Việc pause giúp khoanh vùng tác động và khôi phục an toàn có kiểm soát.

Tôi nên làm gì ngay khi nghi ngờ đã ký nhầm?

Ngắt kết nối ví, thu hồi quyền ngay, chuyển tài sản sang ví an toàn, cập nhật danh sách chặn domain, và liên hệ các kênh chính thức của dự án để nhận hướng dẫn. Thực hiện càng sớm càng tốt.