Tác giả: Gu Yu, ChainCatcher
Hacker là kẻ thù nguy hiểm nhất của bất kỳ giao thức DeFi nào. Hầu hết các giao thức DeFi sẽ sụp đổ và suy thoái sau khi chịu thiệt hại hàng triệu đô la do các cuộc tấn công. Tuy nhiên, Venus Protocol, với tư cách là giao thức cho vay hàng đầu của BNB Chain và là dự án nuôi dưỡng Binance , rõ ràng là một ngoại lệ hiếm hoi.
Venus ban đầu được phát triển bởi đội ngũ Swipe, sau đó được Binance mua lại, và được phát hành một lần sau khi mạng chính BNB Chain ra mắt vào năm 2020. Nó nhanh chóng trở thành giao thức cho vay có tài sản khóa vị thế và lượng người dùng lớn nhất trên BNB Chain. Theo RootData , giá trị tài sản lưu ký (FDV) của token Venus hiện là 94 triệu đô la, và tổng giá trị bị khóa (TVL) là 1,47 tỷ đô la.
Gần đây, Venus một lần nữa trở thành mục tiêu của một cuộc tấn hacker. Theo bản tóm tắt chính thức đội ngũ phát triển, những kẻ tấn công đã bắt đầu tích lũy token THE một cách từ từ thông qua quy trình gửi tiền thông thường vào tháng 6 năm 2025, cuối cùng nắm giữ khoảng 12,2 triệu token THE, trị giá 2,4 triệu đô la.
Vào ngày 15 tháng 3, kẻ tấn công đã trực tiếp gửi toàn bộ token THE làm tài sản thế chấp vào hợp đồng vay mượn , lợi dụng thanh khoản cực thấp của THE Chuỗi chuỗi và sự chậm trễ của oracle TWAP để thao túng giá một cách đệ quy, cho vay tài sản trị giá hàng triệu đô la, bao gồm BTC, BNB và CAKE.
Sự sụp đổ giá của THE đã gây ra một loạt các vụ thanh lý, cuối cùng dẫn đến nợ xấu khoảng 2,15 triệu đô la cho Venus. Nhìn lịch sử vài năm qua, Venus đã bị hacker tấn công gần như mỗi năm, đặc biệt là các cuộc tấn công oracle, dẫn đến nợ xấu hơn 100 triệu đô la cho Venus.
Sự kiện thao túng giá XVS Oracle
Vào tháng 5 năm 2021, một kẻ tấn công đã lợi dụng sự thiếu thanh khoản tương đối của token XVS trên sàn giao dịch tập trung(chủ yếu Binance ) để đẩy giá XVS từ khoảng 70 đô la lên hơn 140 đô la trong một thời gian ngắn. Sau đó, kẻ tấn công đã sử dụng số XVS nắm giữ của mình làm tài sản thế chấp để vay lượng lớn tài sản chất lượng cao (khoảng 2.000 BTC và 5.700 ETH) từ giao thức Venus.
Sau đó, giá XVS lao dốc, giảm xuống mức thấp nhất là 31 đô la và gây ra tình trạng thanh lý hàng loạt. Do thanh khoản thị trường không thể đáp ứng được lượng bán tháo lớn như vậy, giao thức Venus đã phải gánh chịu nợ xấu hơn 95 triệu đô la.
Sau sự cố này, giao thức đã thông báo rằng đội ngũ Swipe sẽ từ chức khỏi vị trí quản lý, và một hội đồng mới gồm các thành viên cộng đồng sẽ tiếp quản việc quản trị giao thức, nhưng vẫn giữ vững bối cảnh chặt chẽ Binance .
Vụ tai nạn LUNA
Vào tháng 5 năm 2022, trong đợt sụt giá của LUNA, giá thực của LUNA đã nhanh chóng giảm xuống dưới 0,10 đô la. Tuy nhiên, vì oracle Chainlink ngừng cập nhật sau khi giá giảm xuống một ngưỡng nhất định (0,10 đô la), giao thức Venus vẫn chấp nhận tài sản thế chấp là LUNA với mức giá "cao" sai lệch là 0,10 đô la.
Sau khi phát hiện ra lỗ hổng, những kẻ tấn công mua vào lượng lớn LUNA với giá thấp trên thị trường thứ cấp và gửi vào Venus. Sau đó, chúng sử dụng giá trị được thổi phồng này làm tài sản thế chấp để vay tài sản khác, khiến giao thức phải gánh chịu nợ xấu hơn 11,2 triệu đô la.
Sự cố Oracle của Binance
Vào tháng 12 năm 2023, Venus đã sử dụng dữ liệu nguồn cấp giá của Binance Oracle trong pool thanh khoản riêng biệt của tài sản thanh khoản thấp snBNB. Kẻ tấn công mua vào snBNB trong nhóm cực kỳ nhỏ của PancakeSwap . Do độ sâu thanh khoản cực kỳ thấp, giá của snBNB đã ngay lập tức kéo lên lên mức phi lý.
Sau đó, kẻ tấn công đã gửi 0,49 snBNB và vay gần như toàn bộ tài sản có sẵn trong nhóm (bao gồm WBNB, BNBx, ankrBNB, v.v.), tổng cộng khoảng 274.000 đô la, số tiền này sau đó được rửa tiền thông qua cầu nối xuyên chuỗi. Cuối cùng, ban quản trị Venus đã thông qua Đề án sử dụng quỹ Treasury để trang trải toàn bộ nợ xấu này.
Sự cố thao túng giá wUSDM Oracle
Vào tháng 2 năm 2024, một kẻ tấn công đã khai thác lỗ hổng trong giao thức ERC-4626 để làm tăng giá đồng stablecoin wUSDM do Mountain Protocol phát hành lên 1,7 đô la trong một thời gian ngắn. Sau đó, kẻ tấn công đã gửi một lượng nhỏ wUSDM vào giao thức Venus.
Vì oracle đọc được mức giá "cao giả" đã bị thao túng, những kẻ tấn công đã sử dụng số wUSDM được thổi phồng này để vay tài sản khác (như USDC và ETH) từ nhóm thanh khoản với giá trị cao hơn. Khi giá wUSDM giảm trở lại mức bình thường là 1 đô la, những kẻ tấn công đã chuyển nhượng tài sản đã vay và không còn trả lại nữa. Venus đã phải chịu nợ xấu khoảng 716.000 đô la sau khi thanh lý giao dịch.
tranh chấp quản trị cộng đồng
Ngoài các cuộc tấn công đã đề cập ở trên, Venus cũng phải đối mặt với sự giám sát từ bên ngoài vào tháng 9 năm 2021 do một sự cố quản trị. Vào thời điểm đó, một người dùng cộng đồng Venus đã đăng một Đề án có tiêu đề "Thành lập một Đội ngũ Bravo", đề xuất trao cho đội ngũ này quyền bỏ phiếu và gây quỹ tương đương với đội ngũ quản trị ban đầu.
Tuy nhiên, người khởi xướng dường như đã tác động đến việc bỏ phiếu bằng cách hứa hẹn sẽ phân phối token. Theo Đề án, trong số 1,9 triệu token XVS được huy động, đội ngũ Bravo sẽ phân bổ 900.000 XVS (tương đương 29 triệu đô la) cho các địa chỉ đã bỏ phiếu ủng hộ. Cuối cùng, vào lúc 22:33 ngày 14 tháng 9, Đề án đã được thông qua với 1,29 triệu phiếu thuận và 1,19 triệu phiếu chống.
Theo thông lệ ngành, Đề án quản trị Chuỗi , sau khi được thông qua bằng bỏ phiếu, cần được đội ngũ phát triển thực hiện. Tuy nhiên, đội ngũ Venus đã "hủy bỏ" nghị quyết chỉ bằng một cú nhấp chuột, tuyên bố rằng điều này nhằm ngăn chặn các cá nhân nặc danh kiểm soát giao thức thông qua hối lộ. Đây là một trong số rất ít trường hợp trong ngành DeFi cho đến nay mà một Đề án quản trị trên Chuỗi đã được thông qua bằng bỏ phiếu nhưng không được thực hiện.
Ngoài ra, vào tháng 9 năm 2025, giao thức Venus đã gặp phải sự cố bảo mật dẫn đến thiệt hại của người dùng lên tới hơn 13 triệu đô la. Tuy nhiên, điều này chủ yếu là do hacker thay đổi giao diện máy tính của người dùng, khiến họ ký vào một giao dịch "ủy quyền", chứ không phải do lỗ hổng bảo mật trong chính Venus.
Sao Kim đã trở thành "người sống sót" như thế nào?
Nhìn vào những vụ tấn công này, Venus nổi bật như một "người sống sót" hiếm hoi trong không gian crypto, và thậm chí có thể là dự án giàu kinh nghiệm nhất trong việc đối phó với các cuộc tấn công hacker. Điều này phần lớn là nhờ sự hỗ trợ liên tục của Binance dành cho Venus về mặt nguồn lực và thương hiệu, với tư cách là một gã khổng lồ trong lĩnh vực tiền crypto. Ngay cả khi gặp phải nhiều sự cố bảo mật, Binance vẫn tiếp tục trực tiếp hướng dẫn người dùng sàn giao dịch gửi tiền vào Venus thông qua các tính năng quản lý tài sản của mình để đạt được tỷ suất lợi nhuận cao hơn.
Nguồn số liệu thống kê TVL trên Chuỗi: DeFillama
Như mọi người đều biết, Binance nắm giữ quyền lực tuyệt đối trong hệ sinh thái BNB Chain. Là đối tác chính của Binance trong lĩnh vực vay mượn, Venus luôn được hưởng sự hỗ trợ từ hệ sinh thái và khả năng giảm thiểu rủi ro vượt trội so với hầu hết các dự án DeFi khác, ngay cả khi đối mặt với các lỗ hổng bảo mật sê-ri.
Từ góc độ ngành, những điểm yếu của DeFi cũng được nêu bật trong các trường hợp này. Cho dù đó là sự chậm trễ của oracle , tài sản thanh khoản , thao túng giá cả hay lỗ hổng quản trị, những vấn đề này đã nhiều lần xuất hiện trong lịch sử của Venus và nhiều dự án DeFi khác.
Trong các hệ thống DeFi tự động hóa cao, nếu xảy ra lỗi thiết kế ở bất kỳ phần nào của hệ thống, kẻ tấn công thường có thể khai thác sự khác biệt về giá cả, thanh khoản hoặc thời gian để thực hiện các cuộc tấn công chênh lệch giá phức tạp.
Khả năng vượt qua lần cuộc khủng hoảng của Venus phần lớn phụ thuộc vào sự hỗ trợ mạnh mẽ từ hệ sinh thái và khả năng bồi thường tài chính. Tuy nhiên, đối với hầu hết các dự án DeFi, một cuộc tấn công trị giá hàng chục triệu đô la thường đủ để khiến toàn bộ giao thức sụp đổ.
Sự "ngoại lệ" của Venus không chỉ chứng minh khả năng bảo vệ dự án của các hệ sinh thái hàng đầu, mà còn làm nổi bật sự mong manh chung của hệ thống bảo mật DeFi. Khi bảo mật chỉ có thể dựa vào sự "hỗ trợ của các ông lớn" thay vì các cơ chế kiểm soát rủi ro và đảm bảo của chính giao thức, thì việc đảm bảo an ninh thực sự cho DeFi vẫn là một nhiệm vụ lâu dài và khó khăn.
