Giao thức Venus bị phơi bày trước một lỗ hổng bảo mật khác: Phân tích vụ chuyển tiền trị giá 1,95 triệu đô la liên quan đến các nhà đầu tư XVS.
Những điểm chính cần lưu ý : Vào giữa tháng 3 năm 2026, giao thức Venus (nền tảng lending lớn nhất trên chuỗi BNB) đã phải chịu một vụ vi phạm khác về giới hạn nguồn cung token THE, dẫn đến nợ xấu từ 2,15 triệu đến 3,7 triệu đô la . Sau sự cố này, người sáng lập TRON , Justin Sun, đã chuyển 620.000 XVS (trị giá 1,95 triệu đô la) sang một ví mới lần đầu tiên sau hai năm, làm dấy lên những đồn đoán về tác động đến niềm tin của những người nắm giữ số lượng lớn và khả năng quản trị. Hiện tại, sự biến động giá của XVS đã tăng lên và sàn giao dịch Bithumb đã đưa nó vào danh sách theo hủy niêm yết, làm nổi bật những lỗ hổng bảo mật dài hạn của giao thức. (Bitcoinworld The Block)
Venus, một nền tảng vay mượn hàng đầu trên chuỗi BNB, tự hào có tổng giá trị bị khóa (TVL) là 1,47 tỷ đô la và giá trị sổ sách (FDV) khoảng 94 triệu đô la . Tuy nhiên, nó đã tích lũy hơn 100 triệu đô la nợ xấu. Sự cố lần không phải là một cuộc tấn công cho vay chớp nhoáng, mà là một cuộc tấn công có chủ đích của những kẻ tấn công đã tích lũy token THE trong hơn chín tháng. Chúng đã vượt qua giới hạn nguồn cung (14,5 triệu token THE) thông qua một cuộc tấn công quyên góp, kết hợp với sự chậm trễ oracle TWAP để thao túng giá, đẩy giá từ 0,27 đô la lên 5 đô la. Sau khi cho vay tài sản như CAKE và BNB, nền tảng này đã sụp đổ và bị thanh lý. Sự cố này phản ánh vấn đề dai dẳng về quản lý rủi ro tài sản thanh khoản thấp trong DeFi: mặc dù giao thức đã tạm ngừng thị trường THE và giảm hệ số thế chấp xuống 8 điểm, còn 0, nhưng nó không xóa bỏ được mô hình lịch sử.
Dòng thời gian sự kiện
| Ngày (UTC) | sự kiện | chi tiết | nguồn |
|---|---|---|---|
| Khoảng ngày 15 tháng 3 năm 2026 | Cuộc tấn công token đã được khởi động. | Nhóm tấn công đã gửi 12,2 triệu token THE (trị giá 2,4 triệu đô la), vượt qua giới hạn nguồn cung, khiến giá tăng vọt từ 0,27 đô la lên 5 đô la và cho vay tài sản trị giá hơn 5 triệu đô la. | The Block |
| 2026-03-16 | Phản hồi chính thức của Venus | Lỗ hổng về giới hạn nguồn cung đã được xác nhận, nhưng đây không phải là khoản vay chớp nhoáng; vay mượn/rút tiền bị tạm dừng và hệ số thế chấp đối với 8 thị trường bao gồm BCH/LTC/ Aave đã được giảm xuống 0. | Bộ phận bắt xích |
| 2026-03-16 | Justin Sun chuyển nhượng XVS | 620.000 XVS (1,95 triệu USD) đã được chuyển từ ví liên kết sang địa chỉ mới trong một giao dịch duy nhất, đánh dấu lần chuyển khoản quy mô lớn đầu tiên trong hai năm. | Sự trùng hợp |
| 21/03/2025 | Quan sát việc hủy niêm yết Bithumb | XVS đã được đưa vào danh sách theo dõi do khối lượng giao dịch thấp và hoạt động phát triển yếu, với thời gian xem xét từ 30 đến 60 ngày. | Thế giới Bitcoin |
Logic về thời điểm : Sau vụ tấn công, việc chuyển nhượng của Sun diễn ra trong một giai đoạn nhạy cảm đối với quản trị giao thức (XVS nắm giữ quyền quản trị). Động thái này không phải là bán tháo trực tiếp (không có lệnh giao dịch lớn trên DEX), mà giống như việc tái cấu trúc ví hoặc chuẩn bị bỏ phiếu. Tuy nhiên, xét đến lịch sử nợ xấu của Venus, tín hiệu này có thể khuếch đại sự hoảng loạn trên thị trường, gây áp lực ngắn hạn lên XVS.
Phân tích chuyển nhượng Justin Sun XVS
- Chi tiết giao dịch : 620.000 XVS, trị giá 1,95 triệu đô la , xuất phát từ ví Sun lịch sử, nhắm mục tiêu đến một địa chỉ hoàn toàn mới (không có lịch sử giao dịch), hoàn tất trong một khối duy nhất, phí Gas thông thường. Thông tin theo dõi blockchain được báo cáo lần đầu bởi ai_9684xtpa. Bitcoinworld
- Bối cảnh : Một người ủng hộ Venus sớm của Nhóm Mặt Trời; đây là động thái XVS lớn nhất trong hai năm, diễn ra ngay sau cuộc tấn công. Không phải lệnh bán (không có lệnh tương ứng trên DEX); có thể là:
- Chuẩn bị quản trị : Cấu hình địa chỉ mới, bỏ phiếu cho Đề án quản trị nợ xấu .
- Tái cấu trúc an toàn : Vận hành tài khoản lớn theo tiêu chuẩn để tránh rủi ro đến ví cũ.
- Tín hiệu niềm tin?: Chủ yếu được hiểu theo hướng tiêu cực, kết hợp với những nhận định Bithumb , rủi ro việc tập trung vị thế giữ XVS ngày càng trở nên rõ ràng.
- Phản ứng của thị trường : Việc chuyển tiền không trực tiếp gây ra đợt bán tháo, nhưng sự biến động của XVS đã tăng lên, tương tự như cách các động thái của cá voi lịch sử thường báo hiệu sự biến động (các giao dịch chuyển ETH/BTC trước đây của Sun thường diễn ra tại các điểm ngoặt của thị trường).
Trên Twitter có một vài đề cập rải rác về vụ tấn công Venus, nhưng Sun không tạo ra cuộc thảo luận lớn nào, cho thấy tác động của sự kiện này chỉ giới hạn trong cộng đồng DeFi .
Chi tiết kỹ thuật về lỗ hổng và đường dẫn tấn công
Những kẻ tấn công không sử dụng các khoản vay chớp nhoáng tức thời, mà là sự tích lũy có chủ đích : bắt đầu từ tháng 6, chúng tích trữ THE, chi phối nguồn cung Venus, và bỏ qua các khoản tiền gửi thông thường bằng cách trực tiếp "quyên góp" vào hợp đồng vTHE, vượt quá giới hạn 14,5 triệu. Chu kỳ là: gửi THE → giá TWAP tăng chậm → vay CAKE/BNB/BTC → mua thêm THE → lặp lại. Vào thời điểm thanh lý, THE giảm mạnh xuống còn 0,24 đô la, nợ xấu1,18 triệu CAKE + 1,84 triệu THE (tổng cộng 2,15 triệu đô la) . Địa chỉ tấn công đã nhận được 7400 ETH trong Tornado Cash, có thể được sử dụng để phòng ngừa rủi ro nhằm thu lợi nhuận vĩnh viễn trên CEX. (The Block )
Tại sao chúng ta liên tục trở thành nạn nhân của điều này ? Đó là fork Venus Compound , lỗ hổng bảo mật đã biết về tấn công quyên góp (được đề cập trong kiểm toán của Code4rena nhưng đội ngũ phát triển phủ nhận), và việc dễ dàng khai thác tài sản thanh khoản thấp (THE) TWAP.
So sánh nợ xấu lịch sử : "Khả năng phục hồi" của sao Kim hay mối nguy hiểm tiềm ẩn?
Venus đã tích lũy hơn 100 triệu đô la nợ xấu, nhưng tổng giá trị tài sản bị khóa (TVL) của nó vẫn cao nhất trên chuỗi BNB, nhờ vào bối cảnh Binance và sự hỗ trợ từ quỹ cộng đồng. Tuy nhiên, mô hình của nó tương tự: thao túng oracle+ tài sản có tính thanh khoản thấp.
| sự kiện | ngày | Số nợ xấu | Loại tấn công | nguồn |
|---|---|---|---|---|
| Thao túng giá XVS | 2021-05 | 95 triệu đô la | Giao thanh khoản CEX: Vay 2000 BTC/5700 ETH | Bộ phận bắt xích |
| Vụ tai nạn LUNA | 2022-05 | 11,2 triệu đô la | Độ trễ ngưỡng Chainlink , tài sản thế chấp giá cao LUNA | Bộ phận bắt xích |
| snBNB cao | 2023-12 | 274.000 đô la | Thanh khoản thấp PancakeSwap thúc đẩy snBNB. | Bộ phận bắt xích |
| Hoạt động wUSDM | 2024-02 | 716.000 đô la | Giá ERC-4626 tăng đột biến | Bộ phận bắt xích |
| Quyên góp của ZKSync | 2025-02 | 700.000 đô la | Các khoản quyên góp lách luật theo cùng một cơ chế. | The Block |
| Mức cung tối đa | 2026-03 | 2,15-3,7 triệu đô la | Quyên góp + Chiến dịch TWAP | Thế giới Bitcoin |
Nhận định : Nợ xấu phát sinh hàng năm và các thỏa thuận dựa vào ngân khố/chính phủ quốc gia để chi trả, nhưng niềm tin của người dùng đang dần suy giảm. Cơ chế quản trị XVS tập trung (bởi các nhà đầu tư lớn như Sun), có thể chuyển giao hoặc xúc tiến Đề án, nhưng nếu không có giải pháp căn bản, rủi ro rò rỉ TVL (giá trị danh nghĩa của tài sản) là rất cao.
Đánh giá thị trường và rủi ro
| Các yếu tố rủi ro| Mức độ nghiêm trọng | Chi tiết và tác động | |----------|--------|------------| | Vấn đề bảo mật | Cao | Tổng nợ xấu USD, đình chỉ nhiều thị trường sau sự cố THE, TVL có thể giảm 10-20% | RootData qua Chaincatcher | | Áp lực sàn giao dịch | Trung bình-Cao | Bithumb bị đưa vào danh sách theo dõi, khối lượng giao dịch thấp hủy niêm yết dễ dàng, mất người dùng Hàn Quốc| Bitcoinworld | | Tập trung cá voi | Trung bình | Việc chuyển nhượng Sun làm gia tăng sự không chắc chắn, quyền biểu quyết dễ bị thao túng | Coinness | | Cạnh tranh gay gắt | Trung bình | Chuyển hướng chuỗi BNB sang vay mượn khác (như Aave) | - |
Hạn chế về dữ liệu : Không có giá XVS/TVL theo thời gian thực (tin tức tính đến sáng ngày 16 tháng 3 năm 2026); ước tính nợ xấu khác nhau (2,15 triệu so với 3,7 triệu, tùy thuộc vào nguồn); không có dữ liệu mới nhất về các nhà đầu tư lớn trên Chuỗi ; không có phân tích tâm lý chuyên độ sâu trên Twitter. Sự kiện này mới diễn ra; cần theo dõi Đề án quản trị.
Triển vọng và khuyến nghị
Ngắn hạn : XVS đang chịu áp lực; hãy theo dõi việc xem xét lại quyết định Bithumb và việc xử lý nợ xấu. Nếu việc chuyển nhượng cổ phần của Sun được chuyển thành quyền biểu quyết, đó là một tín hiệu tích cực; ngược lại, nó có thể gây ra đợt bán tháo.
Về lâu dài : Khả năng phục hồi của Venus phụ thuộc vào hệ sinh thái Binance, nhưng nó cần nâng cấp oracle/giới hạn động, nếu không sẽ khó duy trì địa vị trị về tổng giá trị bị khóa (TVL). Các nhà đầu tư nên tránh đầu tư vào tài sản có tính thanh khoản thấp và ưu tiên ví phần cứng có chức năng rút tiền được phê duyệt (như Revoke.cash).
Góc nhìn hành động : Chủ yếu là quan sát . Các nhà đầu tư lớn nên tránh chạy theo giá cao và chú ý đến báo cáo phân tích sau sự kiện Venus (hiện đang được xem xét). Người dùng DeFi: Kiểm tra các ủy quyền cũ, ưu tiên các giao thức có TVL cao/ kiểm toán. Sự kiện này đóng vai trò như một lời cảnh báo: TVL thấp đối với tài sản THE = rủi ro cao; các tham số giao thức cần được điều chỉnh trong thời gian thực.