Vault Fusion USDC “legacy” trên Arbitrum đã bị khai thác, gây thất thoát 336.000 USDC; IPOR DAO cam kết bồi hoàn 100% cho người dùng bị ảnh hưởng.
Sự cố cho thấy rủi ro bảo mật DeFi vẫn hiện hữu, đặc biệt với hợp đồng cũ thiếu kiểm tra đầu vào. IPOR cho biết đang phối hợp các đơn vị an ninh để truy vết, đồng thời vá lỗi và siết quy trình xác thực nhằm ngăn lặp lại.
- Vault USDC tối ưu hóa lợi suất của Fusion (by IPOR) trên Arbitrum mất 336.000 USDC do khai thác hợp đồng.
- IPOR DAO sẽ bồi hoàn toàn bộ cho người dùng, giảm nguy cơ hoảng loạn rút tiền.
- Bản vá tập trung vào xác thực “fuse”, cấu hình legacy và kiểm soát quyền để chặn leo thang đặc quyền.
Vụ khai thác Vault USDC trên Arbitrum gây thiệt hại 336.000 USDC
Fusion (by IPOR) xác nhận một Vault USDC phiên bản cũ trên Arbitrum bị tấn công, khiến 336.000 USDC bị rút khỏi hợp đồng; các Vault khác được cho là không bị ảnh hưởng.
Sự cố xảy ra ngày 06/01/2026, tập trung vào cấu hình “legacy” có điểm yếu trong logic “fuse” do thiếu cơ chế xác thực nghiêm ngặt. Kẻ tấn công lợi dụng lỗ hổng để chiếm quyền thao tác như quản trị và chèn logic độc hại, từ đó chuyển tài sản khỏi Vault.
Theo mô tả điều tra sau sự cố, dòng tiền bị chuyển tới Tornado.Cash sau khi hợp đồng bị thao túng quyền hạn. IPOR nhấn mạnh đây là trường hợp “đặc thù” vì hội tụ nhiều yếu tố hiếm gặp trong cùng một Vault cũ, làm giảm khả năng lặp lại trên các Vault còn lại nếu cấu hình và kiểm tra được chuẩn hóa.
Cơ chế tấn công: leo thang đặc quyền theo mẫu EIP-7702
Điểm đáng chú ý là kẻ tấn công khai thác mẫu “ủy quyền/leo thang đặc quyền” được mô tả liên quan EIP-7702 để khiến hệ thống nhìn nhận giao dịch như xuất phát từ quản trị hợp lệ, rồi gọi hàm nhạy cảm và cài logic độc hại. Khi quyền kiểm soát bị “đánh tráo”, các rào chắn bảo vệ ở lớp ứng dụng không còn phát huy tác dụng.
Truy vết và phối hợp các bên an ninh
IPOR cho biết đang phối hợp với các nhóm bảo mật và giám sát rủi ro như SEAL, Hexagate và Blockaid nhằm xác định đường đi của tài sản, đánh giá khả năng thu hồi và giảm thiểu thiệt hại thứ cấp. Dù kết quả thu hồi còn phụ thuộc vào nhiều yếu tố, việc phối hợp sớm giúp rút ngắn thời gian phản ứng và cải thiện minh bạch sau sự cố.
Cuộc tấn công này cần một “cơn bão hoàn hảo” gồm nhiều lỗi chỉ xuất hiện đồng thời ở Vault này: thiếu xác thực fuse nghiêm ngặt, cấu hình đặc thù của Vault legacy, và leo thang đặc quyền kiểu EIP-7702 cho phép chèn logic độc hại.
– Nhóm IPOR, báo cáo hậu kiểm (post-mortem) của IPOR/Fusion, 2026
IPOR DAO cam kết bồi hoàn 100% để giảm tác động thị trường
IPOR DAO tuyên bố sẽ hoàn trả toàn bộ khoản lỗ 336.000 USDC cho người gửi tiền bị ảnh hưởng, dự kiến chi trả từ ngân quỹ DAO để tránh lan rộng tâm lý hoảng loạn.
Thông điệp “bồi hoàn đầy đủ” giúp giảm rủi ro rút tiền dây chuyền và hạn chế tác động tới uy tín giao thức. IPOR cũng cho biết khoản thất thoát chiếm dưới 1% tổng tài sản mà Fusion đang quản lý, nên rủi ro hệ thống được đánh giá là có thể kiểm soát nếu quy trình vá lỗi và kiểm toán được tăng cường.
Các biện pháp tăng cường bảo mật sau sự cố
Sau vụ việc, trọng tâm khắc phục là: cập nhật module/logic liên quan “fuse”, bổ sung xác thực chặt cho các đường gọi quan trọng, rà soát cấu hình Vault legacy và siết kiểm soát quyền quản trị. Trong DeFi, các lớp kiểm soát này thường quyết định liệu một lỗ hổng có bị khuếch đại thành rút tiền hay chỉ dừng ở mức cảnh báo.
USDC vẫn giữ neo 1,00 USD trong bối cảnh sự cố
Dữ liệu thị trường cho thấy USDC vẫn duy trì quanh 1,00 USD, giúp hạn chế tác động lan truyền từ sự cố Vault sang biến động giá stablecoin.
Theo CoinMarketCap, USDC giao dịch quanh 0,9998–1,00 USD; vốn hóa khoảng 74,97–74,98 tỷ USD và khối lượng 24 giờ hiển thị khoảng 12,7 tỷ USD tại thời điểm truy cập. Nếu quy đổi mốc 23:11 UTC ngày 08/01/2026 trong phần mô tả ảnh chụp, tương ứng 06:11 (GMT+7) ngày 09/01/2026.
Với các sự cố cấp giao thức, mức độ “neo giá” ổn định của USDC thường phản ánh niềm tin vào cơ chế dự trữ và thanh khoản trên thị trường. Tuy vậy, sự kiện này tiếp tục nhấn mạnh tầm quan trọng của kiểm toán định kỳ, đặc biệt với hợp đồng cũ và các điểm giao quyền (permission boundaries) dễ trở thành mục tiêu tấn công.
Những câu hỏi thường gặp
Vụ việc Fusion USDC Vault trên Arbitrum đã xảy ra như thế nào?
Một Vault USDC phiên bản cũ của Fusion (by IPOR) trên Arbitrum bị khai thác do thiếu xác thực trong logic “fuse”, dẫn đến 336.000 USDC bị rút khỏi hợp đồng và bị chuyển qua Tornado.Cash.
Các Vault khác của Fusion có bị ảnh hưởng không?
Theo thông tin công bố sau điều tra ban đầu, sự cố tập trung vào một Vault legacy có cấu hình đặc thù; IPOR cho biết các Vault còn lại không bị tác động bởi vector tấn công này.
Người dùng có được bồi hoàn thiệt hại không?
Có. IPOR DAO cam kết bồi hoàn 100% cho người dùng bị ảnh hưởng và dự kiến sử dụng ngân quỹ DAO để chi trả, nhằm giảm tác động tài chính trực tiếp lên người gửi tiền.
Vì sao EIP-7702 lại liên quan đến vụ tấn công?
Báo cáo hậu kiểm mô tả kẻ tấn công tận dụng một mẫu leo thang đặc quyền liên quan EIP-7702/ủy quyền hành vi, khiến giao dịch được nhìn nhận như do quản trị hợp lệ thực hiện, từ đó chèn logic độc hại và rút tiền.
Bài học bảo mật quan trọng nhất cho DeFi là gì?
Không chỉ kiểm toán “mã mới”, các hợp đồng legacy và cấu hình hiếm gặp cần được rà soát định kỳ. Điểm yếu ở xác thực đầu vào, ranh giới quyền hạn và module cắm thêm (plug-in) có thể kết hợp thành “chuỗi” dẫn tới rút tiền.
