Stake DAO bị hack, hacker tự ý phát hành 5,4 nghìn tỷ vsdCRV trên Arbitrum(ARB), rút 44 ETH làm dấy lên lo ngại bảo mật DeFi

Theo The Block đưa tin ngày 27 (giờ địa phương), nền tảng tài chính phi tập trung *DeFi* lâu năm *Stake DAO* vừa ghi nhận một vụ tấn công nghiêm trọng, làm dấy lên làn sóng cảnh báo mới về *bảo mật DeFi*. Kẻ tấn công bị nghi đã chiếm quyền kiểm soát khóa bí mật, tự ý phát hành tới 5,4 nghìn tỷ token *vsdCRV* trên mạng *Arbitrum(ARB)* và quy đổi một phần sang *Ethereum(ETH)*, thu về khoảng 91.000 USD.

Theo công ty giám sát chuỗi khối *Blockaid* ngày 27 (giờ địa phương), kẻ tấn công đã chiếm đoạt quyền của ví triển khai hợp đồng thông minh của *Stake DAO*. Sau đó, đối tượng này thay đổi cấu hình hợp đồng *LayerZero OFT* của token *vsdCRV*, rồi cấp quyền “đúc” token cho một “hợp đồng độc hại do chính kẻ tấn công triển khai”. Token *vsdCRV* mà *Stake DAO* phát hành là token sinh lợi suất, được “bọc” từ token gốc *CRV* của *Curve Finance*.

Sau khi tự ý phát hành 5,4 nghìn tỷ *vsdCRV*, hacker đã hoán đổi một phần số token này lấy 44 ETH. Khi thanh khoản on-chain gần như cạn kiệt, đối tượng tấn công chuyển toàn bộ số ETH thu được về mạng chính *Ethereum(ETH)* nhằm che giấu dấu vết và tối ưu hóa khả năng rút tiền.

Đội ngũ *Stake DAO* thông báo trên X ngày 27 (giờ địa phương) rằng họ “đã nắm được tình hình”, đồng thời kêu gọi người dùng tạm thời ngừng tương tác với token *csdCRV* cho đến khi có thông báo mới. Phía *Curve Finance* cũng cảnh báo người dùng nên đóng các vị thế có chứa token *asdCRV* trên giao thức cho vay *LlamaLend* để tránh nguy cơ bị thanh lý dây chuyền trong bối cảnh giá và thanh khoản biến động mạnh.

*Stake DAO* ra mắt từ năm 2021 và đã hoạt động hơn 5 năm trong hệ sinh thái *DeFi*, nhưng không hoàn toàn “miễn nhiễm” với các sự cố bảo mật. Tháng 3 vừa qua, chương trình thưởng *Votemarket* của dự án này từng bị khai thác một lỗ hổng liên quan tới “cơ chế cập nhật oracle ngoại vi” trên mạng *Arbitrum(ARB)* và *Base*. Kẻ tấn công khi đó đã chiếm đoạt khoảng 175.000 USD, song phần lớn số tiền sau đó được hoàn trả.

Sự cố mới nhất của *Stake DAO* diễn ra trong bối cảnh lo ngại về *an ninh DeFi* đang gia tăng. Trước thời điểm vụ hack xảy ra, đồng sáng lập công ty bảo mật *OpenZeppelin* là *Manuel Araoz* viết trên X rằng “DeFi hiện không an toàn”. Ông cảnh báo việc lạm dụng các agent lập trình dựa trên trí tuệ nhân tạo (AI) có thể khiến ngay cả những giao thức “blue-chip” vốn được đánh giá là ít rủi ro như *Aave(AAVE)*, *MakerDAO(MKR)* hay *Compound(COMP)* cũng rơi vào vùng nguy hiểm.

Tuy vậy, cựu đại diện của *Aave(AAVE)* là *Marc Zeller* đã phản bác và gọi đây là “nhận định vô căn cứ”. Theo ông, phần lớn tổn thất trong *DeFi* không xuất phát trực tiếp từ lỗi của hợp đồng thông minh, mà đến từ “cấu hình tham số sai, cơ chế thế chấp bị suy sụp và quy trình quản trị bảo mật lỏng lẻo”. Nhà phát triển chính của *Yearn* là *banteg* cũng nhận định chỉ “một sai sót nhỏ” trong hệ thống phân quyền quyền hạn hoặc thiết lập khóa có thể dẫn đến hậu quả thảm khốc, và nhấn mạnh nhiều vụ hack gần đây đều xoay quanh “lạm dụng tài khoản có quyền cao, đánh cắp khóa hoặc cấu hình sai”.

*bình luận* Vụ tấn công *Stake DAO* lần này cho thấy chỉ một kẽ hở nhỏ trong khâu quản lý quyền và khóa bí mật cũng đủ gây ra việc phát hành hàng nghìn tỷ token “từ không khí”, tạo nguy cơ mất mát tức thời cho cả dự án lẫn người dùng. Trong bối cảnh các đội ngũ phát triển ngày càng phụ thuộc vào AI để viết và triển khai mã, yêu cầu kiểm toán độc lập, quy trình đa chữ ký và cơ chế quản lý khóa phần cứng trở nên quan trọng hơn bao giờ hết.

*bình luận* Với nhà đầu tư, vụ việc là lời nhắc rằng *bảo mật DeFi* không chỉ nằm ở chất lượng hợp đồng thông minh, mà còn ở cách dự án xử lý quyền admin, quy trình triển khai nâng cấp và khả năng phản ứng khi xảy ra sự cố. Dù thiệt hại trực tiếp trong vụ *vsdCRV* mới chỉ dừng ở khoảng 91.000 USD, nhưng quy mô phát hành 5,4 nghìn tỷ token và tác động lan sang các giao thức liên quan như *Curve Finance* cho thấy rủi ro hệ thống mà một sai lầm trong quản trị có thể gây ra cho toàn bộ hệ sinh thái.

Tóm lại, vụ hack *Stake DAO* với việc hacker tự ý phát hành 5,4 nghìn tỷ *vsdCRV* và rút 44 ETH càng làm nổi bật những lỗ hổng trong *bảo mật DeFi*. Khi vai trò của AI trong phát triển hợp đồng thông minh ngày một lớn, việc siết chặt quản lý khóa, phân quyền hợp lý và nâng chuẩn kiểm toán sẽ là chìa khóa để giảm thiểu các rủi ro tương tự trong tương lai.