- Vụ tấn công DUSD trị giá 4,2 triệu đô la là một Tấn công cho vay nhanh chính xác, thao túng các giả định về giá ngắn hạn, rút cạn một pool Curve duy nhất mà không ảnh hưởng đến toàn bộ hệ thống stablecoin.
- Sự cố này làm nổi bật một lỗ hổng thường xuyên xuất hiện DeFi, nơi tính thanh khoản cao và sự phụ thuộc vào oracle có thể trở thành điểm yếu trong trường hợp mất cân bằng Vốn cực đoan và ngắn hạn.
- Mặc dù việc kiểm soát nhanh chóng dịch bệnh Makina đã hạn chế sự lây lan, sự kiện này củng cố thêm nhận định rằng rủi ro của nhà cung cấp thanh nhà cung cấp thanh khoản) trong các pool stablecoin có cấu trúc khác biệt so với rủi ro nắm giữ token đơn thuần.
Một Tấn công cho vay nhanh có chủ đích vào pool DUSD/ USDC Curve của Makina cho thấy cách thức thanh khoản của stablecoin, thiết kế oracle và thanh khoản chớp nhoáng có thể kết hợp để tạo ra rủi ro tập trung cho các nhà cung cấp thanh khoản (LP).
VỤ VIỆC
Vào rạng sáng ngày 20 tháng 1, một Tấn công cho vay nhanh có chủ đích đã rút khoảng 4,2 triệu đô la từ Bể thanh khoản DUSD/ USDC trên Curve, đánh dấu một trong những vụ khai thác stablecoin chính xác nhất về mặt kỹ thuật đầu năm 2026 và nhấn mạnh rằng khả năng kết hợp, dù mạnh mẽ, vẫn tiếp tục tạo ra các bề mặt tấn công khi các phụ thuộc vào oracle và các giả định về thanh khoản không hoàn toàn khớp nhau.
DUSD, một stablecoin Multi-Chain do Makina Finance phát hành, không bị tấn công thông qua cơ chế tạo-chuộc Mint lõi mà thông qua một địa điểm thanh khoản duy nhất. Tại đây, kẻ tấn công đã vay khoảng 280 triệu USDC thông qua Khoản vay nhanh, tạm thời làm sai lệch các dữ liệu định giá tham chiếu đến oracle, thổi phồng giá trị hiển thị của một vị thế thanh khoản và rút hết tài sản có sẵn trong pool trước khi hệ thống có thể cân bằng trở lại, cuối cùng chiếm đoạt số tiền tương đương khoảng 1.299 ETH tại thời điểm xảy ra vụ tấn công.
Điều quan trọng là, sự cố này không ảnh hưởng đến nguồn cung DUSD nói chung hoặc những người dùng đang nắm giữ DUSD, các vị thế Pendle hoặc các giao dịch Gearbox, một điểm khác biệt mà Makina đã nhấn mạnh trong các thông báo sau sự cố. Tuy nhiên, tốc độ và độ chính xác của việc rút tiền cho thấy rõ rằng ngay cả các pool được cách ly tốt cũng có thể trở thành điểm yếu duy nhất khi sự tập trung Vốn , độ trễ của oracle và tính thanh khoản tức thời giao thoa.
CÁCH THỨC TẤN CÔNG DIỄN RA
Về mặt kỹ thuật, lỗ hổng này tuân theo một mô hình ngày càng quen thuộc với các nhà nghiên cứu bảo mật DeFi , nhưng được tinh chỉnh để nhắm mục tiêu cụ thể hơn: bằng cách bơm một lượng USDC khổng lồ, tồn tại trong thời gian ngắn vào nhóm DUSD/ USDC Curve, kẻ tấn công đã có thể thao túng các giả định về giá mà logic phía sau dựa vào, tạo ra ảo tưởng về thanh khoản dư thừa và cho phép thực hiện giao dịch chênh lệch giá sinh lời trong một gói giao dịch duy nhất.
Vì Khoản vay nhanh không yêu cầu Vốn trả trước và phải được hoàn trả trong cùng một Block, kẻ tấn công chỉ chịu rủi ro định hướng tối thiểu, thay vào đó khai thác sự biến dạng giá theo thời gian, một loại lỗ hổng đã nhiều lần xuất hiện trong DeFi khi các pool phụ thuộc vào nguồn cấp dữ liệu giá có thể bị sai lệch do sự mất cân bằng ngắn hạn thay vì tổng hợp theo thời gian hoặc đa nguồn.
Kết quả không phải là sự sụp đổ hệ thống mà là một cuộc rút tiền gọn gàng: khoảng 5,1 triệu đô la Mỹ (tương đương USDC) , như Makina tiết lộ sau đó, đã bị rút khỏi nhóm thanh khoản, khiến các nhà cung cấp thanh khoản hoàn toàn gặp rủi ro trong khi cơ sở hạ tầng giao thức tổng thể vẫn còn nguyên vẹn.
KIỂM SOÁT VÀ ỨNG PHÓ
Phản ứng của Makina đáng chú ý bởi tốc độ và phạm vi, phản ánh những bài học kinh nghiệm từ các cuộc khủng hoảng DeFi trước đó: nhóm đã ngay lập tức xác nhận rằng lỗ hổng chỉ giới hạn ở nhóm Curve DUSD/ USDC , thực hiện Snapshot số dư của các nhà cung cấp thanh khoản trước khi bị tấn công và kích hoạt chế độ phục hồi cho phép các nhà cung cấp thanh khoản bị ảnh hưởng rút tiền đơn phương sang DUSD trong khi các phương án khắc phục dài hạn hơn đang được đánh giá.
Trong các tuyên bố công khai được đưa ra vào ngày 21 tháng 1, Makina cho biết họ đã xác định được các manh mối liên quan đến danh tính on-chain của kẻ tấn công và đang tích cực tìm cách liên lạc, đồng thời cam kết mở lại chức năng rút tiền và cung cấp các phương án thoát hiểm thay thế cho các nhà cung cấp thanh khoản một khi các biện pháp bảo vệ được thiết lập, một chiến lược nhằm ngăn chặn sự lây lan do hoảng loạn sang các nền tảng khác.
Cách tiếp cận này trái ngược hoàn toàn với các sự cố DeFi trước đây, nơi việc chậm trễ trong giao tiếp và phạm vi không rõ ràng đã làm gia tăng thiệt hại, và nó nhấn mạnh rằng sự trưởng thành trong vận hành—thay vì ngăn chặn tuyệt đối các lỗ hổng bảo mật—đã trở thành yếu tố khác biệt quan trọng giữa các giao thức quản lý cơ sở hạ tầng stablecoin.
TÍN HIỆU THỊ TRƯỜNG VÀ BỘ NHỚ THANH KHOẢN
Điều khiến vụ việc DUSD trở nên đặc biệt đáng chú ý là sự tương phản giữa vụ tấn công và câu chuyện về thanh khoản trước đó của DUSD: chỉ vài tháng trước đó, vào tháng 9 năm 2025, cặp DUSD/ USDT trên PancakeSwap đã đứng đầu bảng xếp hạng Tổng giá trị khóa (TVL) của nền tảng với 129 triệu đô la, khối lượng giao dịch giao dịch trong 24 giờ là 82,11 triệu đô la và 439 triệu đô la trong bảy ngày, đưa DUSD trở thành một trong những cặp stablecoin được sử dụng tích cực nhất trong một số hệ sinh thái giao dịch nhất định.
Bối cảnh lịch sử đó rất quan trọng, bởi vì nó minh họa cách thức độ sâu thanh khoản, mặc dù thường được hiểu là dấu hiệu của sự ổn định, cũng có thể trở thành mục tiêu của các cuộc tấn công có chủ đích khi Vốn tập trung đủ lớn và các động lực kinh tế phù hợp, đặc biệt là trong các pool nơi giả định sự cân bằng giữa các stablecoin thay vì liên tục được kiểm tra khả năng chịu áp lực.
Theo nghĩa này, vụ tấn công không làm mất hiệu lực của DUSD với tư cách là một stablecoin, nhưng nó củng cố một bài học thường xuyên được nhắc đến trong DeFi : tính thanh khoản không đồng nghĩa với sự an toàn, và chính những pool tưởng chừng như kiên cường nhất trong điều kiện bình thường lại có thể trở thành mục tiêu tối ưu trong điều kiện bị tấn công.
BÀI HỌC RỘNG HƠN VỀ STABLECOIN
Ngoài tổn thất trước mắt, Tấn công cho vay nhanh DUSD cho thấy một thách thức mang tính cấu trúc mà các stablecoin on-chain đang phải đối mặt khi chúng mở rộng quy mô trên nhiều chuỗi và giao thức: trong khi khả năng kết hợp cho phép tăng trưởng nhanh chóng và hiệu quả Vốn , nó cũng tạo ra các đồ thị phụ thuộc phức tạp, trong đó các lỗi cục bộ có thể dẫn đến hậu quả không cân xứng đối với các nhóm người dùng cụ thể.
Khi các cơ quan quản lý, tổ chức và nhà cung cấp cơ sở hạ tầng ngày càng xem xét kỹ lưỡng stablecoin không chỉ như một công cụ mà còn như một lớp thanh toán và quyết toán, những sự cố như thế này làm rõ hơn sự khác biệt giữa khả năng thanh toán của giao thức và rủi ro ở cấp độ sàn giao dịch, một điểm khác biệt thường bị người dùng bỏ qua khi theo đuổi lợi nhuận trong các nhóm thanh khoản mà không tính đến đầy đủ thiết kế oracle, cơ chế rút tiền hoặc các kịch bản gây áp lực từ đối thủ.
Việc những người nắm giữ DUSD bên ngoài nhóm bị ảnh hưởng không bị thiệt hại cuối cùng có thể có lợi cho Makina, tuy nhiên, sự việc này củng cố thêm quan điểm rằng giai đoạn ổn định tiếp theo của DeFi sẽ ít phụ thuộc vào các con số Tổng giá trị khóa (TVL) ( tổng giá trị bị khóa) mà phụ thuộc nhiều hơn vào cách các giao thức thiết kế các điểm yếu của chúng, đặc biệt là nơi thanh khoản tức thời và việc xác định giá cả xung đột.
Đọc thêm:
Khoản vay nhanh là gì? Hướng dẫn dành cho người mới bắt đầu
Từ Khoản vay nhanh đến ngân hàng toàn cầu: Câu chuyện về AAVE
〈 Một cuộc tấn công Khoản vay nhanh có mục tiêu làm lộ ra các lỗi trong tính thanh khoản của Stablecoin 〉這篇文章最早發佈於《 CoinRank 》。
