Một cuộc tấn công vay nhanh 'định hướng phá hủy' làm lộ vết nứt cấu trúc thanh khoản stablecoin
- Quan điểm cốt lõi: Cuộc tấn công vay nhanh vào đầu năm 2026 nhắm vào nhóm DUSD/USDC trên Curve đã tiết lộ rằng dưới sự chồng chéo của sự phụ thuộc vào oracle, tập trung thanh khoản và khả năng kết hợp DeFi, các nhóm thanh khoản cục bộ có thể trở thành điểm đột phá 'thất bại đơn điểm' cho rủi ro hệ thống, chứ không phải là vấn đề an ninh của chính giao thức stablecoin.
- Yếu tố then chốt:
- Kẻ tấn công đã vay khoảng 280 triệu USDC thông qua vay nhanh, thao túng giá trong nhóm, tạo ra ảo tưởng về tính thanh khoản dồi dào, và cuối cùng rút đi tài sản trị giá khoảng 4,2 triệu USD (khoảng 1.299 ETH).
- Phạm vi tấn công chỉ giới hạn trong một nhóm thanh khoản Curve duy nhất, không ảnh hưởng đến cơ chế đúc/chuộc lại DUSD và người nắm giữ của nó, tổn thất hoàn toàn do các nhà cung cấp thanh khoản của nhóm đó gánh chịu.
- Cuộc tấn công đã khai thác đặc điểm của vay nhanh là không cần vốn trước và hoạt động tức thời, cũng như lỗ hổng về độ trễ thời gian phản ứng giá của oracle, thuộc loại tấn công làm biến dạng giá tức thời điển hình.
- Nhà phát hành Makina Finance đã phản ứng nhanh chóng sau sự kiện, cách ly phạm vi ảnh hưởng và khởi động kế hoạch phục hồi và chuộc lại cho các LP bị ảnh hưởng, thể hiện sự cải thiện năng lực quản lý khủng hoảng.
- Sự kiện này tương phản với lịch sử thanh khoản cao trước đó của cặp giao dịch này với TVL lên tới 129 triệu USD, cho thấy bản thân độ sâu thanh khoản không tương đương với tính bảo mật, và các nhóm vốn tập trung cao độ dễ trở thành mục tiêu tấn công hơn.
- Sự kiện này làm nổi bật thách thức cấu trúc do khả năng kết hợp DeFi mang lại, tức là sự thất bại cục bộ có thể tác động không cân xứng đến nhóm người dùng cụ thể (như LP).
Tổng quan sự kiện
Vào rạng sáng ngày 20 tháng 1 năm 2026, một cuộc tấn công flash loan có độ chính xác cao đã rút khoảng 4,2 triệu đô la từ nhóm thanh khoản DUSD/USDC trên Curve, trở thành một trong những sự kiện tấn công stablecoin có tính kỹ thuật mục tiêu cao nhất đầu năm 2026. Cuộc tấn công này không chạm vào cơ chế đúc hoặc mua lại cốt lõi của DUSD, mà tập trung vào một địa điểm thanh khoản đơn lẻ, làm rõ cách rủi ro hệ thống có thể được khuếch đại nhanh chóng ở cấp độ cục bộ khi sự phụ thuộc vào oracle, các giả định về thanh khoản và khả năng kết hợp của DeFi chồng chéo lên nhau.
DUSD là một stablecoin được phát hành bởi Makina Finance, một công cụ thực thi DeFi đa chuỗi. Theo thông tin được tiết lộ sau sự kiện, kẻ tấn công đã vay khoảng 280 triệu đô la USDC thông qua flash loan, thao túng đầu vào giá liên quan đến nhóm này trong thời gian cực ngắn, làm tăng giá trị sổ sách của các vị thế thanh khoản, và hoàn thành giao dịch chênh lệch giá trước khi hệ thống kịp hiệu chỉnh lại, cuối cùng chuyển toàn bộ tài sản tương đương khoảng 1.299 ETH ra khỏi nhóm.
Cần nhấn mạnh rằng sự kiện này không ảnh hưởng đến tổng nguồn cung DUSD, cũng không ảnh hưởng đến người dùng chỉ đơn thuần nắm giữ DUSD, Pendle hoặc các vị thế Gearbox. Makina đã làm rõ ranh giới này ngay sau sự kiện, nhưng tốc độ và độ chính xác của cuộc tấn công vẫn cho thấy rằng ngay cả một nhóm thanh khoản có vẻ được cách ly tốt, trong điều kiện vốn tập trung cao và có độ trễ phản hồi từ oracle, vẫn có thể trở thành điểm yếu cho một "lỗi đơn điểm".
Cuộc tấn công được thực hiện như thế nào
Về con đường kỹ thuật, cuộc tấn công này tiếp nối mô hình đã khá quen thuộc với các nhà nghiên cứu bảo mật DeFi trong những năm gần đây, nhưng ở cấp độ thực thi thì có sự kiềm chế và tập trung hơn. Kẻ tấn công sử dụng một lượng USDC khổng lồ được bơm vào tức thời để làm méo mó cấu trúc giá của nhóm DUSD/USDC, khiến logic liên quan phụ thuộc vào giá đó đưa ra đánh giá sai lầm trong cùng một khối, từ đó tạo ra ảo tưởng về "thanh khoản dồi dào", tạo điều kiện cho giao dịch chênh lệch giá không rủi ro.
Vì flash loan không yêu cầu vốn trước và phải được hoàn trả trong cùng một giao dịch, kẻ tấn công hầu như không chịu rủi ro định hướng, phương tiện cốt lõi của họ nằm ở sự bóp méo giá theo chiều thời gian. Loại lỗ hổng này xuất hiện lặp đi lặp lại trong nhiều kịch bản DeFi, đặc biệt là khi các nhóm thanh khoản phụ thuộc vào tín hiệu giá đơn lẻ hoặc ngắn hạn, thay vì dữ liệu tổng hợp đa nguồn hoặc có trọng số thời gian, dễ bị lợi dụng bởi sự mất cân bằng tạm thời.
Kết quả cuối cùng không phải là sự sụp đổ hệ thống, mà là một vụ rút cạn sạch sẽ. Makina sau đó tiết lộ rằng tài sản tương đương khoảng 5,1 triệu USDC đã bị rút khỏi nhóm này, tổn thất hoàn toàn do các nhà cung cấp thanh khoản gánh chịu, trong khi phần còn lại của giao thức vẫn hoạt động bình thường.
Xử lý hậu sự kiện và cách ly
Tốc độ ứng phó của Makina ở một mức độ nào đó phản ánh sự trưởng thành của DeFi sau nhiều sự cố bảo mật. Nhóm đã nhanh chóng xác nhận phạm vi tấn công chỉ giới hạn ở nhóm DUSD/USDC trên Curve, và đã chụp nhanh số dư của các nhà cung cấp thanh khoản trước khi cuộc tấn công xảy ra, đồng thời kích hoạt "chế độ phục hồi", cho phép các LP bị ảnh hưởng mua lại một chiều sang DUSD, để tránh việc rút tiền hàng loạt hoảng loạn thêm.
Trong tuyên bố chính thức được công bố vào ngày 21 tháng 1, Makina cho biết đã nắm được manh mối về danh tính trên chuỗi của kẻ tấn công và đang cố gắng liên hệ với họ, đồng thời cam kết kích hoạt lại chức năng mua lại sau khi hoàn tất điều chỉnh bảo mật và cung cấp phương án thoát thay thế. Cách xử lý này tương phản rõ rệt với phản ứng dây chuyền do thông tin chậm trễ và phạm vi ảnh hưởng không rõ ràng trong các sự kiện DeFi thời kỳ đầu, và cũng cho thấy sự khác biệt giữa các giao thức ngày nay ngày càng thể hiện ở khả năng quản lý hậu sự kiện hơn là cam kết "không có lỗ hổng" tuyệt đối.
Tín hiệu thị trường và ký ức thanh khoản
Một trong những bài học từ sự kiện DUSD nằm ở sự tương phản mạnh mẽ của nó với câu chuyện thanh khoản trước đó. Chỉ vài tháng trước, vào tháng 9 năm 2025, cặp giao dịch DUSD/USDT đã từng đứng đầu bảng xếp hạng TVL của PancakeSwap, với tổng giá trị bị khóa đạt 129 triệu đô la, khối lượng giao dịch 24 giờ là 82,11 triệu đô la, khối lượng giao dịch tích lũy 7 ngày là 439 triệu đô la, và được coi là đại diện cho tính thanh khoản mạnh và hoạt động cao trong một số hệ sinh thái giao dịch.
Bối cảnh lịch sử này đặc biệt quan trọng vì nó tiết lộ một quy luật DeFi lặp đi lặp lại: độ sâu thanh khoản tự nó không tương đương với tính bảo mật. Khi vốn tập trung cao độ và mối quan hệ neo giá stablecoin được coi là đương nhiên, những nhóm như vậy thậm chí còn dễ trở thành mục tiêu lý tưởng cho "vụ nổ có chủ đích", đặc biệt là khi các cơ chế khuyến khích và giả định giá không được kiểm tra áp lực liên tục.
Từ góc độ này, cuộc tấn công này không trực tiếp phủ nhận tính khả thi của DUSD với tư cách là một stablecoin, nhưng nó một lần nữa xác nhận một thực tế tồn tại lâu dài: nơi "ổn định" nhất thường trở thành mục tiêu tấn công hiệu quả nhất về chi phí khi đối thủ có đủ công cụ.
Những bài học rộng hơn về stablecoin
Vượt ra ngoài sự kiện đơn lẻ, cuộc tấn công flash loan vào DUSD phản ánh những thách thức cấu trúc mà stablecoin trên chuỗi phải đối mặt trong quá trình mở rộng xuyên chuỗi và xuyên giao thức. Khả năng kết hợp làm tăng đáng kể hiệu quả vốn, nhưng cũng xây dựng một mạng lưới phụ thuộc phức tạp, khiến lỗi cục bộ có thể tác động không cân xứng đến các nhóm người dùng cụ thể.
Khi các cơ quan quản lý, vốn tổ chức và nhà cung cấp cơ sở hạ tầng dần coi stablecoin là một lớp thanh toán và thanh toán, thay vì chỉ là công cụ giao dịch thuần túy, những sự kiện tương tự đang buộc thị trường phân biệt rõ ràng hơn giữa tính vững chắc ở cấp độ giao thức và rủi ro của các địa điểm thanh khoản cụ thể. Đối với người dùng theo đuổi lợi nhuận LP, sự phân biệt này đặc biệt quan trọng, nhưng cũng thường bị bỏ qua.
Trong sự kiện này, chính những người nắm giữ DUSD không bị ảnh hưởng, điều này có thể giúp Makina duy trì uy tín tổng thể; nhưng từ góc nhìn dài hạn hơn, giai đoạn tiếp theo của sự ổn định DeFi có thể không còn được quyết định bởi con số TVL hay tính thanh khoản bề mặt, mà phụ thuộc vào cách các giao thức thiết kế, cách ly và củng cố các điểm yếu nhất của chúng, đặc biệt là nơi thanh khoản flash và khám phá giá va chạm trực tiếp.
