Resupply bị tấn công lần hai, thiệt hại 9,6 triệu USD: Lỗ hổng định giá tài sản và phản ứng gây tranh cãi

  • DeFi -
  • Resupply bị tấn công lần hai, thiệt hại 9,6 triệu USD: Lỗ hổng định giá tài sản và phản ứng gây tranh cãi

Resupply bị tấn công lần hai, thiệt hại 9,6 triệu USD: Lỗ hổng định giá tài sản và phản ứng gây tranh cãi

 Cộng đồng DeFi lại chấn động khi giao thức lending Resupply, tiền thân là Prisma Finance, bị khai thác với thiệt hại ước tính hơn 9,6 triệu USD. Sự cố này không chỉ khiến tài sản của giao thức bốc hơi trong chớp mắt, mà còn dấy lên làn sóng chỉ trích về năng lực kỹ thuật và cách xử lý khủng hoảng từ phía đội ngũ phát triển.

Lỗ hổng trong cách định giá vault trống: “1 cổ phần ảo” = hàng triệu USD

Theo phân tích từ các chuyên gia on-chain, nguyên nhân chính đến từ lỗi logic trong cách tính tỷ giá tài sản thế chấp ở một vault rỗng tên cvcrvUSD. Kẻ tấn công chỉ cần gửi vào 2 crvUSD để nhận 1 cổ phần, rồi tiếp tục donate thêm 2.000 crvUSD vào vault mà không nhận thêm cổ phần. Do vault không có bất kỳ lịch sử hoạt động nào trước đó, hệ thống mặc định rằng 1 cổ phần này đại diện cho toàn bộ giá trị 2.002 crvUSD.

Đáng nói, Resupply lại áp dụng phép chia làm tròn xuống để tính tỷ lệ tài sản thế chấp (LTV). Khi hệ thống chia tổng giá trị cho số lượng cổ phần, kết quả bị làm tròn về 0. Điều này khiến 1 cổ phần ảo trở thành “vô giá” theo logic nội bộ của hệ thống, nhưng lại được chấp thuận vay ra gần 10 triệu reUSD.

Hacker nhanh chóng rút và rửa tiền

Sau khi khai thác thành công, kẻ tấn công đã rút tiền thông qua nhiều địa chỉ trung gian, một phần được hoán đổi qua CowSwap, trước khi chuyển đến ví cá nhân. Phần lớn tài sản được rửa thông qua Tornado Cash, công cụ nổi tiếng trong giới hacker để ẩn danh dòng tiền.

Phản ứng từ Resupply: Tạm dừng hoạt động thị trường wstUSR, cộng đồng phẫn nộ

Ngay sau sự cố, Resupply thông báo đã xác định hợp đồng bị khai thác và tạm ngừng hoạt động của thị trường wstUSR để giảm thiểu thiệt hại. Tuy nhiên, phản ứng của dự án không làm dịu được sự lo lắng của cộng đồng.

Một số người dùng lên tiếng cho rằng dự án thiếu minh bạch, khi thiết lập chế độ “timeout” lên đến 6 giờ trên Discord, ngăn cộng đồng đặt câu hỏi hoặc chỉ trích. Điều này gây thêm bất mãn, đặc biệt với những nhà đầu tư đã mất tiền hoặc bị ảnh hưởng trực tiếp từ vụ tấn công.

Một người dùng viết:
“Nếu đây là cách các anh đối xử với những người đã bỏ vốn để ủng hộ dự án, thì kiện tụng là lựa chọn duy nhất còn lại.”

TVL và giá token lao dốc

Tại thời điểm xảy ra vụ hack, Tổng giá trị bị khóa (TVL) của Resupply sụt mạnh, từ 135 triệu USD xuống còn 89,63 triệu USD, ghi nhận mức giảm hơn 33%.
Cùng lúc, giá token RSUP cũng giảm từ 1,54 USD xuống 1,34 USD, tương đương mức sụt giảm 15,8% chỉ trong 24 giờ.

Lịch sử lặp lại: Resupply từng bị tấn công vào năm 2024

Đáng chú ý, đây không phải lần đầu dự án trở thành mục tiêu tấn công. Vào tháng 03/2024, khi còn mang tên Prisma Finance, giao thức đã bị hacker chiếm đoạt 9 triệu USD. Sự kiện này khiến dự án phải đổi tên thành Resupply nhằm làm mới hình ảnh và khôi phục lòng tin người dùng. Tuy nhiên, vụ tấn công lần này cho thấy những cải tiến về bảo mật có thể chưa đủ mạnh, hoặc tồn tại lỗ hổng logic nghiêm trọng chưa được kiểm tra kỹ lưỡng.

Trong một phân tích trước đây, “thám tử blockchain” ZachXBT từng nghi ngờ rằng kẻ đứng sau vụ hack Prisma Finance năm 2024 có thể là người Việt Nam, tuy nhiên điều này chưa từng được xác minh chính thức.

Vấn đề hệ thống và câu hỏi về năng lực phát triển

Sự cố lần này không đến từ một bug cụ thể, mà là lỗi thiết kế hệ thống trong cách xử lý các vault không có thanh khoản. Điều này làm dấy lên câu hỏi về quá trình kiểm thử, đánh giá bảo mật và logic nội bộ khi giao thức vận hành trên mạng chính thức.

Việc Resupply không kích hoạt kiểm tra Loan-to-Value (LTV) trong trường hợp bất thường như vault trống, càng khiến người dùng nghi ngờ về năng lực quản lý rủi ro của đội ngũ kỹ thuật.

Hệ quả dài hạn

Trong ngắn hạn, vụ hack có thể khiến Resupply mất đi phần lớn niềm tin từ cộng đồng. Nếu không có giải pháp bồi thường hợp lý và một báo cáo điều tra kỹ lưỡng, dự án rất khó có thể phục hồi. Hơn nữa, với tiền lệ hai vụ hack chỉ trong hơn một năm, Resupply có nguy cơ bị rút khỏi danh mục đầu tư của nhiều tổ chức và cá nhân, gây ra hiệu ứng domino đến TVL và giá token.

Tổng kết

Sự cố của Resupply là lời nhắc nhở rõ ràng rằng ngay cả những giao thức lớn, có nhiều người dùng và từng trải qua tái cấu trúc vẫn có thể dễ dàng trở thành nạn nhân nếu thiếu sót trong thiết kế hệ thống. Đặc biệt trong lĩnh vực tài chính phi tập trung, niềm tin và minh bạch chính là yếu tố sống còn.

Liệu Resupply có thể một lần nữa vượt qua khủng hoảng như từng làm với Prisma Finance? Hay đây sẽ là hồi chuông báo tử cho một dự án từng đầy tiềm năng? Thời gian sẽ trả lời.

Stay Connected
Tags