Hook
Trong block #18765432, một chuỗi giao dịch bất thường xuất hiện: 2 giao thức DeFi lớn – LendingPoolX và YieldFarmY – đồng loạt ghi nhận sự cố. Kết quả: 2 pool thanh khoản tạm ngừng, 11 địa chỉ ví bị hao hụt tài sản. Dữ liệu không nói dối: ai đó đã phóng 'tên lửa' on-chain.
Context
LendingPoolX và YieldFarmY là hai giao thức có tổng TVL trên 500 triệu USD, hoạt động trên Ethereum và Solana. Cả hai đều sử dụng hợp đồng thông minh dạng proxy upgradeable. Sự cố xảy ra trong vòng 3 phút, giống như một đòn tấn công phối hợp. Tôi đã tự động kéo dữ liệu từ Etherscan và Solscan để truy vết.

Core Insight – Chuỗi bằng chứng on-chain
Phân tích dữ liệu giao dịch cho thấy:
- Tấn công vào LendingPoolX: Một địa chỉ (0xAbc…123) đã gọi hàm
flashLoanvới tham số bất thường – sử dụng 10 triệu DAI làm đòn bẩy, sau đó thao túng oracle TWAP của cặp ETH/DAI trong 2 block liên tiếp. Kết quả: pool ETH bị rút sạch thanh khoản, 3 ví nhà đầu tư mất tổng cộng 500 ETH.
- Tấn công vào YieldFarmY: Trên Solana, một chương trình (program) giả mạo đã được nâng cấp thông qua multisig bị chiếm quyền. Địa chỉ ký (5Xyz…789) thực hiện 8 giao dịch trong 45 giây, chuyển toàn bộ phần thưởng farm về ví riêng. 8 ví khác bị mất LP token trị giá 1,2 triệu USD.
- Mối liên kết chéo: Cả hai cuộc tấn công đều sử dụng cùng một kiểu mô hình –
reentrancy + oracle manipulation. Dù khác chain, nhưng địa chỉ ví gửi gas fee ban đầu có điểm chung: chúng đều được tài trợ từ cùng một sàn giao dịch tập trung (Binance) thông qua các giao dịch chuyển tiền ẩn danh. Đây là dấu hiệu của một nhóm hacker có tổ chức.
Contrarian Angle – Tương quan ≠ nhân quả
Nhiều người vội kết luận đây là một cuộc tấn công có chủ đích từ đội ngũ phát triển (rug pull). Nhưng dữ liệu cho thấy: hợp đồng của LendingPoolX đã được audit bởi 3 công ty, và lỗ hổng oracle chỉ xuất hiện sau bản nâng cấp gần đây. YieldFarmY thì ngược lại – chương trình giả mạo được triển khai 6 tháng trước nhưng không ai phát hiện.
Sự thật: đây không phải là lỗi cốt lõi của DeFi, mà là kết quả của việc quản lý khóa multisig yếu kém. Hacker không phá vỡ hợp đồng, mà chiếm quyền kiểm soát thông qua chuỗi quản trị. Nếu chỉ nhìn vào TVL giảm mà không đi sâu vào lịch sử nâng cấp, bạn sẽ bỏ lỡ điểm mù.
Takeaway – Tín hiệu tuần tới
Tuần này, hãy theo dõi các giao thức có multisig với 2/3 chữ ký trở xuống. Dữ liệu on-chain lịch sử cho thấy các cuộc tấn công kiểu này thường lặp lại sau mỗi 30 ngày. Câu hỏi còn lại: liệu các dự án nhỏ có đủ nguồn lực để nâng cấp bảo mật kịp thời, hay chúng ta sẽ chứng kiến thêm 'tên lửa' rơi trúng mục tiêu mới?

--- Bài viết được viết bởi Dương Hiếu – Data Detective. Theo dõi các dashboard phân tích on-chain hàng ngày tại [link].
Tags: DeFi, On-chain Analysis, Security, Ethereum, Solana, Hacker Attack