Nghi vấn ví StakeDAO bị hack trên Arbitrum(ARB): Mint 5,4 nghìn tỷ vsdCRV nhưng chỉ rút được 91.000 USD, lộ rõ rủi ro quản lý khóa DeFi

Vụ *ví liên kết với StakeDAO* bị nghi *hack* trên *Arbitrum(ARB)* đã dẫn tới sự cố *mint* hơn 5,4 nghìn tỷ **vsdCRV**, nhưng do thanh khoản mỏng nên số tiền thực sự bị *rút* chỉ khoảng 91.000 USD. *bình luận* Vụ việc tiếp tục gióng lên hồi chuông cảnh báo về rủi ro quản lý khóa trong *DeFi* và khoảng cách rất lớn giữa “giá trị danh nghĩa” của token và giá trị thực tế có thể thanh lý.

Theo PeckShield ngày 16 (giờ địa phương), kẻ tấn công đã đổi một phần **vsdCRV** vừa *mint* lấy 43,7 **Ethereum(ETH)**, tương đương khoảng 91.000 USD, sau đó *bridge* số tiền này sang mạng **Ethereum(ETH)**. Nhà phân tích on-chain AmberCN cho biết kẻ tấn công đã hoán đổi khoảng 16,83 triệu **vsdCRV**, trong khi phần còn lại hầu như không có thanh khoản để có thể xả ra thị trường.

AmberCN ước tính 5,4 nghìn tỷ **vsdCRV** nói trên có giá trị danh nghĩa vào khoảng 763 tỷ USD, song con số này hoàn toàn không phản ánh lợi nhuận thực tế của kẻ tấn công hay thiệt hại thực của giao thức. *bình luận* Vụ việc cho thấy trong các cuộc tấn công *DeFi*, “giá trị bề mặt” của token trên hợp đồng thông minh có thể khác rất xa so với lượng giá trị thực sự mà kẻ tấn công rút được, nhất là khi thanh khoản bị giới hạn.

StakeDAO cho biết họ đã phát hiện sự cố và khuyến cáo người dùng tạm thời không tương tác với **vsdCRV**. Trọng tâm của vụ việc không nằm ở lỗ hổng mã nguồn hợp đồng thông minh, mà chủ yếu xuất phát từ việc quản lý khóa vận hành (deployment/operation key) thiếu chặt chẽ.

Shalev Keren, đồng sáng lập kiêm giám đốc sản phẩm của công ty quản lý khóa tiền mã hóa SSS, nhận định sự cố liên quan **vsdCRV** có cấu trúc tương tự nhiều vụ đánh cắp khóa triển khai (deployer key) gần đây. Ông cho biết: “Một khóa triển khai đơn lẻ đang kiểm soát toàn bộ các chức năng cấu hình nhạy cảm, mà không có *multisig* hay cơ chế trì hoãn (timelock)”. *bình luận* Tức là chỉ cần chiếm được một khóa cá nhân, kẻ tấn công có thể thay đổi cấu hình quan trọng của cả hệ thống.

Theo phân tích của Keren, khóa triển khai đơn trên **Arbitrum(ARB)** đã được sử dụng để chỉnh sửa cấu hình *bridge* chuỗi chéo của **vsdCRV**, chuyển quyền kiểm soát sang một hợp đồng do kẻ tấn công nắm giữ. Khoảng 25 giây sau, hợp đồng này gửi lại thông điệp qua LayerZero, dẫn đến việc lượng lớn **vsdCRV** được *mint* trên phía Arbitrum. Ông nhấn mạnh: “Vấn đề không nằm ở LayerZero, mà ở việc một khóa cá nhân duy nhất nắm trọn một chức năng cốt lõi”, đồng thời cho rằng sang năm 2026, trọng tâm bảo mật *DeFi* sẽ dịch chuyển từ việc chỉ chú trọng kiểm toán mã nguồn sang phân tán và bảo vệ khóa vận hành.

Cuối cùng, vụ nghi *hack* liên quan ví của StakeDAO trên **Arbitrum(ARB)** với 5,4 nghìn tỷ **vsdCRV** được *mint* cho thấy: thiệt hại không chỉ phụ thuộc vào quy mô *mint* mà còn tùy vào thanh khoản và cơ chế kiểm soát vận hành. *bình luận* Trong thị trường *DeFi*, “bảo mật” không chỉ là chuyện viết mã không lỗi, mà còn bao gồm thiết kế phân quyền, quản lý khóa và cấu trúc *multisig/timelock* để giảm thiểu thiệt hại khi xảy ra sự cố.