Venus Protocol trên BNB Smart Chain bị nâng cấp Comptroller thành hợp đồng độc hại, dẫn đến việc chuyển khoảng 27 triệu USD gồm vUSDC, vETH và các vToken khác vào hợp đồng kẻ tấn công.
Sự cố ảnh hưởng trực tiếp tới pool lõi (Comptroller). Số tài sản bị chuyển hiện đang nằm trong hợp đồng của kẻ tấn công và chưa được redeem; cần rà soát on-chain và thực hiện biện pháp chứa lây ngay lập tức.
- Comptroller của Venus bị cập nhật thành hợp đồng độc hại trên BNB Smart Chain.
- Khoảng 27 triệu USD tài sản (vUSDC, vETH, …) đã chuyển sang hợp đồng tấn công.
- Số tiền đang bị giữ trong hợp đồng kẻ tấn công và chưa được redeem; cần rà soát và phong tỏa rủi ro.
Tóm tắt sự cố
Comptroller, pool lõi của Venus Protocol trên BNB Smart Chain, bị cập nhật đến một địa chỉ hợp đồng được cho là độc hại, dẫn tới chuyển giao lượng lớn vToken sang hợp đồng đó.
Sự kiện này khiến nhiều vị thế và thanh khoản nội bộ bị ảnh hưởng ngay lập tức. Việc cập nhật quyền quản lý hoặc nâng cấp hợp đồng mà không kiểm soát chặt có thể tạo cửa ngõ cho chuyển tiền trái phép.
Cơ chế tấn công và tài sản bị ảnh hưởng
Đối tượng tấn công tận dụng việc cập nhật hợp đồng Comptroller để chuyển các vToken như vUSDC, vETH và các Token khác vào hợp đồng của họ.
Comptroller là thành phần trung tâm quản lý pool và cho vay; khi bị thay thế bằng hợp đồng độc hại, kẻ tấn công có thể thực hiện các lệnh chuyển tài sản mà không cần tương tác trực tiếp với từng ví người dùng.
Hậu quả hiện tại và khả năng khắc phục
Số tài sản khoảng 27 triệu USD đang nằm trong hợp đồng tấn công và tính đến hiện tại chưa được redeem, nghĩa là chưa rời khỏi chuỗi nhưng đã mất quyền kiểm soát đối với tài sản đó.
Khắc phục yêu cầu rà soát on-chain để xác định nguồn gốc chuyển tiền, tạm dừng chức năng liên quan nếu có thể, phối hợp với cộng đồng và chuyên gia bảo mật để tìm giải pháp kỹ thuật và pháp lý phù hợp.
FAQ — Những câu hỏi thường gặp
Số tiền bị mất chính xác là bao nhiêu?
Theo báo cáo ban đầu, khoảng 27 triệu USD tài sản gồm vUSDC, vETH và các vToken khác đã bị chuyển sang hợp đồng tấn công.
Số tài sản này còn on-chain hay đã rút ra ngoài?
Số tài sản hiện đang nằm trong hợp đồng kẻ tấn công on-chain và chưa được redeem hoặc chuyển về ví ngoài, theo thông tin hiện có.
Người dùng nên làm gì ngay bây giờ?
Người dùng nên tạm ngưng tương tác với các hợp đồng liên quan, theo dõi thông báo chính thức của dự án và sao lưu thông tin trước khi thực hiện bất kỳ giao dịch nào.
Làm sao để xác minh an toàn cho hợp đồng tương lai?
Kiểm tra lịch sử nâng cấp hợp đồng, multisig, audit độc lập và các chỉ số on-chain; ưu tiên chỉ tương tác khi có thông báo xác thực từ quản trị chính thức.
