**Theo CoinDesk đưa tin ngày 15 (giờ địa phương),** một dự án DeFi xây dựng trên **từ Arbitrum(ARB) từ** vừa ghi nhận vụ tấn công nghiêm trọng, khiến khoảng **từ 2.680 tỷ đồng từ** (ước tính) bị rút khỏi giao thức. Nguyên nhân được xác định là do kẻ tấn công lợi dụng lỗ hổng trong cơ chế **từ oracle giá từ**, thao túng dữ liệu thời gian để tạo ra “lợi nhuận giả” và rút tiền khỏi kho thanh khoản.
Nền tảng bị tấn công là Ostium – một giao thức DeFi chuyên về giao dịch phái sinh, trong đó kẻ tấn công đã đánh cắp khoảng **từ 18 triệu USD từ**, tương đương **từ 26,8 tỷ đồng giá trị USDC từ**, từ két thanh khoản của dự án. Theo phân tích on-chain được công bố bởi công ty bảo mật blockchain Blockaid, vụ việc là một “cuộc tấn công tinh vi” nhắm thẳng vào cơ chế **từ oracle giá và hệ thống keeper tự động từ**, thông qua thao túng dấu thời gian (timestamp) của dữ liệu.
Hệ thống của Ostium sử dụng một hạ tầng tự động gọi là PriceUpKeep forwarder để chuyển dữ liệu giá từ mạng lưới tự động hóa bên ngoài Gelato lên on-chain. Kẻ tấn công đã lợi dụng chính cấu phần này: chúng gửi lên chuỗi những gói dữ liệu giá có gắn timestamp ở “thời điểm tương lai”, khiến hợp đồng thông minh hiểu nhầm rằng đã có những giao dịch sinh lời trong khoảng thời gian đó.
Khi dữ liệu đã bị thao túng được nạp vào, hệ thống ghi nhận đây là các giao dịch có lợi nhuận và tự động kích hoạt cơ chế chi trả. Kết quả là khoảng 18 triệu USD USDC được giải ngân trực tiếp từ két thanh khoản của Ostium cho ví của kẻ tấn công, trong khi trên thực tế hoàn toàn không có giao dịch mang lại lợi nhuận tương ứng.
Ở đây, vấn đề không chỉ nằm ở **từ mức giá từ** mà còn là **từ thời điểm của giá từ** – tức dữ liệu timestamp. Mô hình DeFi vốn dựa trên giả định rằng dữ liệu **từ oracle giá từ** và quy trình input là “đáng tin cậy”. Một khi lớp dữ liệu đầu vào này bị bẻ cong, toàn bộ logic về lợi nhuận – thua lỗ của hệ thống sẽ bị đảo lộn, như trường hợp của Ostium.
Ostium vận hành trên mạng **từ Arbitrum(ARB) từ** như một sàn giao dịch phái sinh vô thời hạn phi tập trung, cho phép người dùng giao dịch các tài sản thực như hàng hóa, ngoại hối, chỉ số chứng khoán… với đòn bẩy lên tới 200 lần. Dự án không dùng trực tiếp các oracle công khai phổ biến, mà triển khai hệ thống nguồn giá riêng, kết nối với hạ tầng tự động hóa Gelato để cập nhật giá lên on-chain. Điểm kích hoạt trung tâm trong quy trình đó là smart contract PriceUpKeep.
Lỗ hổng nằm ở chỗ: nếu một tác nhân có thể chiếm được quyền truy cập, hoặc khai thác sai sót logic trong cơ chế xác thực của PriceUpKeep, họ có thể can thiệp vào **từ thời điểm và nội dung dữ liệu giá từ**. Phân tích từ Blockaid cho thấy, kẻ tấn công đã tập trung chính xác vào điểm yếu này để đưa vào các bản ghi giá sai lệch về mặt thời gian, mà vẫn vượt qua được các điều kiện kiểm tra của hợp đồng.
Sự cố của Ostium nối dài chuỗi vụ việc liên quan tới **từ lỗ hổng oracle và hệ thống keeper trong DeFi từ**. Chỉ tuần trước, giao thức Summer.fi cũng đã báo cáo khoản thất thoát khoảng 6 triệu USD trong một vụ tấn công có mô-típ tương tự: không tấn công trực diện ví hay kho tiền, mà nhắm tới lớp “vai trò được tin cậy” trong hệ thống, như các bot cập nhật giá, các hợp đồng quản lý tự động hoặc key vận hành dịch vụ.
Các chuyên gia bảo mật đánh giá, **từ oracle giá từ** đang vừa là “trái tim” vừa là “gót chân Achilles” của nhiều giao thức DeFi. Khi dữ liệu từ oracle bị thao túng – dù là về giá trị hay thời điểm – hợp đồng thông minh vẫn sẽ thực thi đúng như được lập trình, nhưng kết quả lại hoàn toàn trái với ý đồ ban đầu của nhà phát triển.
bình luận Nhiều đội ngũ phát triển đã tập trung rất mạnh vào việc audit logic giao dịch và quản lý tài sản, nhưng lại đánh giá thấp tầng hạ tầng tự động hóa (như keeper, scheduler, relay) và mô hình tin cậy của **từ oracle giá từ**. Vụ Ostium thêm một lần cho thấy: chỉ cần một lỗ hổng nhỏ ở lớp “ai có quyền đưa dữ liệu gì, vào lúc nào” là đủ để thổi bay hàng chục triệu USD thanh khoản.
Trước vụ tấn công, Ostium được xem là một trong những dự án phái sinh DeFi tăng trưởng nhanh trên **từ Arbitrum(ARB) từ**. Đến cuối năm 2025, dự án đã huy động tổng cộng khoảng 27,8 triệu USD vốn, trong đó có vòng Series A trị giá 24 triệu USD do hai quỹ đầu tư lớn là General Catalyst và Jump Crypto đồng dẫn dắt. Khối lượng giao dịch lũy kế trên nền tảng từng vượt mốc 50 tỷ USD, thể hiện mức độ sử dụng thực tế khá cao.
Chính vì vậy, cú tấn công 18 triệu USD lần này được coi là “cú sốc niềm tin” với cộng đồng người dùng và nhà đầu tư. Dù cơ sở người dùng và thanh khoản đã tăng nhanh, kiến trúc bảo mật quanh **từ oracle giá và hệ thống tự động hóa từ** vẫn chưa tương xứng với quy mô rủi ro mà giao thức đang gánh.
bình luận Vụ Ostium cho thấy một nghịch lý quen thuộc của DeFi: giao thức càng phức tạp, càng đa dạng tài sản và đòn bẩy, thì “diện tấn công” (attack surface) càng mở rộng. Nếu không thiết kế cơ chế **từ oracle giá từ** với giả định “luôn có kẻ thù ngồi rình ở mọi mắt xích”, thì sự cố kiểu này sẽ còn lặp lại.
Thị trường DeFi từ trước đến nay vẫn vận hành trên khái niệm “niềm tin vào mã nguồn” (code is law). Thế nhưng, như trường hợp Ostium cho thấy, chỉ cần chuỗi dữ liệu đầu vào – đặc biệt là dữ liệu từ **từ oracle giá từ** – bị lợi dụng, “luật” được viết trong hợp đồng thông minh sẽ trở thành công cụ chuyển tài sản cho kẻ tấn công một cách hoàn toàn hợp lệ ở cấp độ on-chain.
Trong bối cảnh **từ Arbitrum(ARB) từ** và các hệ sinh thái L2 khác tiếp tục thu hút dòng tiền vào các giao thức phái sinh và lợi suất cao, bài toán củng cố an ninh cho lớp **từ oracle giá và keeper tự động từ** đang trở nên cấp bách hơn bao giờ hết. Vụ tấn công trị giá 18 triệu USD vào Ostium có thể sẽ trở thành một ví dụ điển hình mà các nhà phát triển, nhà đầu tư và người dùng DeFi phải nhìn lại khi đánh giá rủi ro: không chỉ hỏi “mã có an toàn không?”, mà còn phải hỏi “ai được quyền đưa dữ liệu gì, vào lúc nào, vào hệ thống?”.
Bình luận 0