Giao thức DeFi Rhea Finance gặp phải lỗ hổng bảo mật nghiêm trọng vào ngày 16 tháng 4, công ty bảo mật blockchain CertiK ước tính thiệt hại khoảng 7,6 triệu USD. Kẻ tấn công đã đánh lừa oracle và cơ chế xác minh của giao thức, từ đó thành công rút tiền, bằng cách tạo hợp đồng token giả mạo và bơm tiền vào các pool thanh khoản mới được tạo lập. CertiK đã xác định được địa chỉ liên quan trên chuỗi, và cuộc điều tra vẫn đang được tiến hành.
Cơ chế tấn công: Kết hợp hợp đồng token giả mạo và pool thanh khoản để lừa đảo
(Nguồn:NearBlocks)
Theo phân tích ban đầu của CertiK, lộ trình kỹ thuật của cuộc tấn công lần này bao gồm hai bước then chốt. Kẻ tấn công đầu tiên triển khai hợp đồng token giả mạo, sau đó bơm tiền vào pool thanh khoản mới được tạo để tạo ra vẻ ngoài về “hoạt động giao dịch bình thường”. Thao tác này làm sai lệch lớp oracle và lớp xác minh mà giao thức Rhea Finance dựa vào, khiến giao thức định giá sai giá trị tài sản, cho phép kẻ tấn công khai thác chênh lệch giữa giá trị được giao thức cảm nhận và giá trị thực tế để rút tiền.
Các cuộc tấn công thao túng oracle như vậy là mối đe dọa bảo mật lặp đi lặp lại trong hệ sinh thái DeFi; cơ chế cốt lõi là thông qua các tín hiệu thanh khoản được tạo một cách nhân tạo hoặc dữ liệu giá giả, làm méo mó việc giao thức đánh giá trạng thái của tài sản, từ đó kích hoạt logic giao dịch không lẽ ra phải thực thi.
Quy mô thiệt hại: 7,6 triệu chiếm gần 6% TVL của Rhea Finance
CertiK ước tính thiệt hại vào khoảng 7,6 triệu USD, nhưng khi phân tích trên chuỗi được đào sâu, con số này vẫn có thể được điều chỉnh. Theo dữ liệu của DefiLlama, Rhea Finance hiện nắm giữ khoảng 128 triệu USD giá trị khóa tổng (TVL), nghĩa là thiệt hại do lỗ hổng lần này tương đương khoảng 6% thanh khoản tổng của nền tảng, ở mức độ sự cố an ninh trung bình đến nghiêm trọng trong một sự kiện đơn lẻ.
Sau khi đánh cắp tiền, kẻ tấn công định tuyến tài sản thông qua nhiều địa chỉ trên chuỗi; đây là cách ngụy trang thường thấy sau các cuộc tấn công DeFi, nhằm làm phức tạp việc theo dõi và đóng băng tài sản ở các bước tiếp theo.
Biến động dòng tiền lớn trên chuỗi trong cùng ngày
Trong ngày diễn ra sự kiện Rhea Finance, trên chuỗi ghi nhận thêm hai lần chuyển BTC có giá trị lớn đáng chú ý:
Chính phủ Mỹ: gửi 8,2 BTC vào Coinbase Prime (khoảng 606.000 USD); các tài sản này đến từ số tài sản bị tịch thu liên quan đến vụ việc hacker Bitfinex
Abraxas Capital: gửi 1.993 BTC vào Kraken (khoảng 148 triệu USD), tiếp nối mô hình giao dịch bitcoin quy mô lớn từ giữa tháng 3
Câu hỏi thường gặp
Tấn công thao túng oracle là gì, nó ảnh hưởng thế nào tới giao thức DeFi?
Oracle là bên trung gian để các giao thức DeFi lấy dữ liệu giá ngoài chuỗi hoặc trên chuỗi. Khi kẻ tấn công đưa dữ liệu bị bóp méo vào oracle thông qua pool thanh khoản được kiểm soát thủ công hoặc hợp đồng token giả mạo, giao thức có thể định giá sai giá trị tài sản và thực hiện các thao tác vay mượn, thanh lý hoặc arbitrage dựa trên mức giá lệch, giúp kẻ tấn công rút lợi nhuận chênh lệch mà không gặp rủi ro. Đây là một trong những phương thức tấn công phổ biến nhất và tồn tại dai dẳng trong lịch sử DeFi.
Mức độ nghiêm trọng của thiệt hại lần này so với TVL của Rhea Finance là bao nhiêu?
Khoản lỗ 7,6 triệu USD tương đương khoảng 5,9% TVL ước chừng 128 triệu USD của Rhea Finance, thuộc nhóm sự cố an ninh mức độ trung bình đến nghiêm trọng. Nếu kẻ tấn công chưa hoàn tất mọi đợt chuyển tiền, thiệt hại thực tế có thể cao hơn ước tính ban đầu của CertiK. Nền tảng hiện vẫn đang vận hành nhưng tồn tại rủi ro tiềm ẩn kéo dài.
Rhea Finance đến nay chưa phản hồi; người dùng đang nắm giữ tài sản nên ứng phó thế nào?
Trước khi nhóm dự án phát hành phản hồi chính thức hoặc xác nhận hệ thống đã bị cô lập an toàn lỗ hổng, người dùng đang nắm giữ tài sản Rhea Finance nên cân nhắc việc rút thanh khoản để giảm rủi ro. Nên tiếp tục theo dõi diễn biến mới nhất trên chuỗi của sự kiện thông qua các nền tảng bảo mật bên thứ ba như CertiK, và tránh thực hiện gửi tiền mới khi lỗ hổng chưa được xác nhận khắc phục hoàn toàn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
$20M Nạn nhân lừa đảo “thịt heo” nộp đơn kiện Citibank
Michael Zidell khởi kiện Citibank tại tòa án liên bang ở Manhattan vì $20M in các khoản chuyển tiền pig butchering, cáo buộc AML bị xem nhẹ và các cảnh báo bị bỏ qua.
Tóm tắt: Bài viết mô tả vụ kiện của Michael Zidell chống lại Citibank tại tòa án liên bang Manhattan, cáo buộc rằng các biện pháp kiểm soát AML cẩu thả đã cho phép 20 triệu USD được gửi cho các kẻ lừa đảo pig butchering thông qua các tài khoản liên quan đến Carolyn Parker và Guju Inc. Bài viết đặt vụ việc trong bối cảnh các vụ lừa đảo crypto gia tăng và các lỗ hổng AML mang tính hệ thống giữa tiền pháp định và crypto.
TodayqNews2giờ trước
Các vụ hack tiền mã hóa tháng 8 năm 2025 gây thiệt hại $163M qua 16 vụ việc — PeckShield
Tháng 8 năm nay, thị trường crypto đã mất 163 triệu USD trong 16 vụ hack lớn; khoản mất mát cao nhất là 91,4 triệu USD do một cá nhân thực hiện và BtcTurk mất 54 triệu USD.
Mức lỗ trong tháng 8/2025 cao hơn 15% so với số tiền bị mất trong tháng 7 năm nay, là 142,16 triệu USD; vào tháng 6, tổng thiệt hại
TodayqNews2giờ trước
Người đàn ông ở California bị tuyên án 78 tháng tù vì vai trò trong đường dây trộm cắp tiền mã hóa $250M
Vào hôm thứ Tư, một tòa án liên bang của Mỹ đã tuyên án 78 tháng tù đối với Marlon Ferro, một người đàn ông 20 tuổi tại California, còn được biết đến với tên “GothFerrari”, do vai trò của anh trong một âm mưu lừa đảo xã hội trên toàn quốc, đánh cắp hơn 250 triệu USD tài sản tiền mã hóa, theo một thông cáo từ Bộ
CryptoFrontier4giờ trước
TrustedVolumes khai thác làm thất thoát 6,7 triệu USD từ nhà cung cấp thanh khoản 1inch
TrustedVolumes, nhà cung cấp thanh khoản và nhà tạo lập thị trường cho trình tổng hợp sàn giao dịch phi tập trung 1inch, đang chịu một cuộc tấn công kéo dài khiến số tiền bị rút khoảng 6,7 triệu USD, theo các báo cáo từ công ty bảo mật blockchain Blockaid và chính TrustedVolumes. Blockaid ban đầu đã phát hiện th
CryptoFrontier5giờ trước
1inch Liquidity Provider TrustedVolumes mất 6,7 triệu USD trong vụ khai thác diễn ra liên tục vào thứ Tư
Theo công ty bảo mật blockchain Blockaid, TrustedVolumes, nhà cung cấp thanh khoản cho bộ tổng hợp sàn giao dịch phi tập trung 1inch, đã gặp một cuộc khai thác đang diễn ra vào hôm thứ Tư, khiến bị rút khoảng 5,87 triệu USD. Cuộc tấn công nhắm vào hợp đồng resolver của TrustedVolumes trên Ethereum, với số tiền bị đánh cắp bao gồm
GateNews5giờ trước
