Giao thức bZx DeFi đã bị khai thác lần thứ hai thông qua một cuộc tấn công flash loan, dẫn đến khoản lỗ 665.000 đô la ETH và làm dấy lên lo ngại về bảo mật DeFi.

Tóm tắt điều hành

Giao thức tài chính phi tập trung (DeFi) bZx đã trải qua cuộc tấn công flash loan thứ hai trong vòng một tuần, dẫn đến mất 2.378 ETH, trị giá khoảng 665.840 đô la với giá ETH là 280 đô la. Cuộc tấn công này, xảy ra vào ngày 18 tháng 2 năm 2020, đã khai thác một lỗ hổng oracle, làm nổi bật hơn nữa những rủi ro bảo mật vốn có trong lĩnh vực DeFi non trẻ.

Chi tiết sự kiện

Cuộc tấn công đã tận dụng một khoản vay flash 7.500 ETH trên bZx. Kẻ tấn công sau đó đã giao dịch 3.517 ETH để lấy 940.000 sUSD (Synthetix USD) trên nền tảng. Tiếp theo, 900 ETH được sử dụng để mua thêm sUSD trên KyberUniswap, làm tăng giá nhân tạo của nó lên hơn 2,5 lần so với tỷ giá thị trường. Sử dụng sUSD bị thổi phồng làm tài sản thế chấp, kẻ tấn công đã vay 6.796 ETH từ bZx, trả lại khoản vay flash ban đầu và bỏ túi lợi nhuận 2.378 ETH. Điều này khiến bZx có một khoản vay thiếu thế chấp.

bZx dựa vào Kyber để cung cấp nguồn cấp giá, và giá sUSD/ETH tăng vọt đã cho phép khoản vay ETH lớn. Mặc dù bZx đã triển khai một kiểm tra an toàn nội bộ để kiểm soát mức chênh lệch tối đa từ một oracle không ổn định, nhưng nó đã không đủ để ngăn chặn cuộc tấn công.

Hàm ý thị trường

Cuộc tấn công vào bZx đã dẫn đến sự sụt giảm đáng kể tổng giá trị bị khóa (TVL) trong lĩnh vực DeFi, giảm khoảng 140 triệu đô la từ mức đỉnh 1,2 tỷ đô la vào ngày 18 tháng 2 năm 2020. Tổn thất Ether bị khóa lên tới khoảng 200.000 ETH, theo dữ liệu từ Defipulse.com. Sự cố này nhấn mạnh khả năng thua lỗ tài chính đáng kể do các lỗ hổng trong giao thức DeFi và làm dấy lên lo ngại về bảo mật và sự ổn định của lĩnh vực này.

Bình luận của chuyên gia

Các chuyên gia bảo mật đã nhấn mạnh sự cần thiết của các giao thức DeFi phải vượt ra ngoài việc kiểm toán hợp đồng thông minh và bảo mật toàn bộ hệ sinh thái. Họ khuyến khích các giao thức áp dụng ví đa chữ ký/MPC và lưu trữ lạnh cho các tài sản chính. Giảm thiểu các cuộc tấn công flash loan bằng các biện pháp bảo vệ thích ứng cũng rất quan trọng. Hơn nữa, việc tăng cường tính minh bạch và giám sát theo thời gian thực là rất quan trọng, vì nhiều cuộc tấn công ngoài chuỗi thiếu nguồn gốc rõ ràng. "Báo cáo 100 vụ hack DeFi hàng đầu năm 2025" xác định việc thiếu hoặc xác minh/xác thực đầu vào bị lỗi là lỗ hổng phổ biến nhất dẫn đến khai thác hợp đồng trực tiếp, chiếm 34,6% các trường hợp.

Bối cảnh rộng hơn

Các cuộc tấn công bZx là một phần của xu hướng rộng hơn về các lỗ hổng bảo mật ngày càng tăng trong lĩnh vực DeFi. Khi các sàn giao dịch phi tập trung (DEX) và các giao thức chuỗi chéo mở rộng quy mô, rủi ro hoạt động đã tăng vọt. Vào tháng 8 năm 2025, 163 triệu đô la đã bị đánh cắp trong 16 cuộc khai thác, tăng 15% hàng tháng. Các giao thức DeFi và cầu nối chuỗi chéo chiếm 80% tổng thiệt hại tiền điện tử trong năm nay. Những sự cố này nhấn mạnh sự cần thiết của các nhà đầu tư phải đánh giá rủi ro hoạt động nghiêm ngặt như rủi ro thị trường và ưu tiên các giao thức có kiểm toán bảo mật mạnh mẽ, quản trị minh bạch và các sáng kiến bảo mật do cộng đồng điều khiển. > Các hệ thống phi tập trung phải duy trì tính mở, bảo mật, quyền riêng tư và khả năng chống kiểm duyệt, và không bao giờ hy sinh chúng vì sự tiện lợi hoặc tăng trưởng. Các hệ thống lập lịch trình trên chuỗi mới nổi và các khung tự động hóa mô-đun đang đặt nền tảng cho các ứng dụng mà logic thực thi không phải là phản ứng mà là chủ động và tự động.