Vào ngày 14 tháng 4 năm 2025, một vụ tấn công khai thác oracle đã xảy ra trên giao thức cho vay Bonzo Lend của hệ sinh thái Hedera. Chỉ trong 8 giây, kẻ tấn công đã rút được 9,05 triệu USD từ các pool thanh khoản. Sự kiện này không chỉ gây thiệt hại tài chính cho người dùng mà còn đặt ra câu hỏi nghiêm trọng về thiết kế bảo mật của các giao thức DeFi phụ thuộc vào một nguồn oracle duy nhất.
Context: Bonzo Lend là một giao thức cho vay DeFi chạy trên Hedera, một mạng lưới được biết đến với mô hình đồng thuận Hashgraph. Giao thức này sử dụng Supra làm nhà cung cấp oracle duy nhất để lấy giá tài sản. Không giống như Chainlink hoặc các giải pháp oracle phi tập trung khác sử dụng nhiều nguồn dữ liệu và cơ chế tổng hợp, Supra hoạt động như một oracle tập trung, dễ bị thao túng nếu logic xác thực có lỗi. Kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng oracle của Supra—cho phép nộp giá thao túng mà không bị kiểm tra. Với mức ký quỹ chỉ 250 token SAUCE (trị giá vài đô la), kẻ tấn công có thể vay 9,05 triệu USDC và wHBAR vì giá được nâng giả tạo khiến tỷ lệ tài sản thế chấp trở nên quá cao.
Core Insight: Đây không phải là một lỗi trong logic hợp đồng thông minh của Bonzo Lend, mà là lỗ hổng trong xác thực oracle. Tuy nhiên, việc Bonzo Lend phụ thuộc vào một oracle duy nhất không có cơ chế dự phòng (như kiểm tra chênh lệch giá, xác thực dấu thời gian, hoặc nhiều nguồn) là một thiếu sót thiết kế nghiêm trọng. Giao thức đã không triển khai bất kỳ biện pháp bảo vệ nào như giới hạn giá tối đa, giá trung bình theo thời gian, hoặc độ trễ oracle để ngăn chặn thao túng nhanh. Vụ tấn công diễn ra trong 8 giây cho thấy tự động hóa cao, nhưng mọi cơ chế kiểm soát rủi ro (bảo vệ trượt giá, giới hạn vay tối đa, phòng vệ thay đổi giá đột ngột) đều thất bại. Điều này đặt ra câu hỏi: tại sao Bonzo Lend, một giao thức đã hoạt động được một thời gian, lại không có những cơ chế bảo vệ cơ bản mà ngay cả các giao thức non trẻ cũng có?
Dữ liệu on-chain cho thấy kẻ tấn công đã gửi giao dịch tới hợp đồng Supra để ghi giá sai, sau đó ngay lập tức gọi hàm vay từ Bonzo Lend. Không có độ trễ hay xác thực chéo nào. Điều này xác nhận rằng Bonzo Lend đã hoàn toàn tin tưởng giá từ Supra mà không kiểm tra tính hợp lý. Trong thị trường giảm giá hiện tại, nơi thanh khoản khan hiếm và người dùng dễ bị tổn thương, một vụ khai thác như thế này có thể gây ra hiệu ứng domino, làm suy giảm niềm tin vào toàn bộ hệ sinh thái Hedera.
Contrarian Angle: Một góc nhìn phản trực giác là vụ tấn công này thực ra có thể có lợi trong dài hạn cho Hedera. Nó phơi bày điểm yếu chết người trong cơ sở hạ tầng oracle của hệ sinh thái. Nếu Hedera Foundation và các dự án trong hệ sinh thái phản ứng nhanh—bằng cách yêu cầu kiểm toán toàn bộ các hợp đồng tương tác với Supra, hoặc thậm chí chuyển sang oracle phi tập trung hơn—thì Hedera có thể trở nên an toàn hơn sau sự kiện này. Sai lầm lớn nhất không phải là bị tấn công, mà là không học được gì từ nó. Nếu Bonzo Lend thất bại trong việc bồi thường cho người dùng hoặc giải quyết nợ xấu, thì toàn bộ hệ sinh thái sẽ mất niềm tin. Nhưng nếu họ xử lý tốt, điều này có thể trở thành một case study về quản lý khủng hoảng.
Một góc nhìn khác: kẻ tấn công chỉ mất vài đô la để có được 9 triệu USD. Điều này cho thấy chi phí tấn công cực thấp, đặt ra câu hỏi về trách nhiệm của Supra. Supra đã cung cấp một dịch vụ không an toàn, nhưng Bonzo Lend cũng không kiểm tra nó. Cả hai bên đều có lỗi. Tuy nhiên, việc đổ lỗi cho nhau sẽ không giúp người dùng mất tiền. Cần có một giải pháp cấp hệ sinh thái: Hedera nên yêu cầu các giao thức DeFi sử dụng nhiều oracle hoặc ít nhất là có cơ chế bảo vệ.

Takeaway: Vụ tấn công Bonzo Lend là một lời nhắc nhở mạnh mẽ rằng trong thị trường giảm, khi thanh khoản co lại, mọi lỗ hổng nhỏ đều trở nên chết người. Bài học rút ra là: không có gì thay thế được bảo mật đa lớp, đặc biệt là khi phụ thuộc vào bên thứ ba. Đối với người dùng, hãy rút tài sản khỏi các giao thức không có bảo vệ oracle phi tập trung. Đối với nhà phát triển, đừng tin tưởng mù quáng vào bất kỳ oracle nào. Câu hỏi còn lại: liệu Hedera Foundation có đứng ra chịu trách nhiệm một phần không? Nếu không, hệ sinh thái này sẽ mất đi những người dùng trung thành nhất.