Vụ tấn công oracle Bonzo Lend: Giao thức cho vay lớn nhất Hedera bốc hơi 9 triệu đô

Vụ tấn công oracle Bonzo Lend vừa trở thành một trong những cú đánh đau nhất vào DeFi năm 2025, xóa sổ khoảng 77% tổng giá trị bị khóa (TVL) của giao thức chỉ trong một đòn duy nhất — bắt nguồn từ một luồng dữ liệu giá bị thao túng. Điều đáng sợ không chỉ nằm ở con số 9 triệu đô, mà ở chỗ kẻ tấn công đã biến chính cơ chế xác thực oracle đáng tin cậy thành vũ khí, gọn gàng và chính xác đến đáng lo ngại.

Chuyện gì đã xảy ra: Diễn biến vụ tấn công

Trung tâm của vụ này là một lỗ hổng trong bộ xác thực oracle onchain của Supra — thứ mà Bonzo Lend dùng để định giá tài sản thế chấp. Theo Cointelegraph, kẻ tấn công đã thổi phồng giá trị của token SAUCE bằng cách đẩy dữ liệu giá giả vào bộ xác thực của Supra — và hệ thống này chấp nhận bản cập nhật bị làm giả mà không hề cảnh báo. Với SAUCE được định giá ảo, kẻ tấn công vay được khoảng 9 triệu đô dựa trên tài sản thế chấp mà trên thực tế chỉ đáng một phần nhỏ con số đó.

Cách thức tấn công vẫn theo kịch bản quen thuộc trong DeFi — thổi phồng tài sản thế chấp, vay tối đa, rút lui trước khi bị thanh lý — nhưng điểm đột nhập lần này mới hơn và đáng lo hơn nhiều so với một lỗi smart contract thông thường. Lỗ hổng nằm ở tầng hạ tầng oracle, không phải trong code của chính Bonzo, và điều đó đặt ra câu hỏi khó chịu: liệu bất kỳ giao thức cho vay nào có thể thực sự tin tưởng vào nguồn giá từ bên ngoài hay không?

The Block tiết lộ thêm một tình tiết thú vị: một ví thứ hai cũng rút khoảng 1 triệu đô qua cùng lỗ hổng đó, nhưng tự xưng là white hat hacker và tuyên bố sẽ hoàn trả. Kiểu can thiệp song song như vậy ngày càng phổ biến trong DeFi — vừa là giải cứu kiểu nghĩa hiệp, vừa là cuộc tranh giành tài sản trong lúc hỗn loạn. Dù sao, điều đó cũng cho thấy lỗ hổng tấn công rộng đến mức nào trong khoảng thời gian đó.

CoinDesk phác họa thiệt hại tổng thể bằng những con số khô khan: Bonzo Lend mất 77% TVL — không chỉ là tổn thất tài chính mà còn là nguy cơ sụp đổ niềm tin của người dùng vào giao thức, và rộng hơn là vào toàn bộ hệ sinh thái DeFi trên Hedera.

tấn công oracle Bonzo Lend

Tại sao vụ tấn công oracle Bonzo Lend quan trọng: Rủi ro oracle vẫn là bài toán DeFi chưa có lời giải

Vụ tấn công oracle Bonzo Lend không phải sự cố kỹ thuật đơn lẻ — đây là một dạng lỗ hổng lặp đi lặp lại mà DeFi chưa bao giờ giải quyết triệt để. Các giao thức cho vay sống chết phụ thuộc vào độ chính xác của nguồn giá. Khi nguồn giá bị thao túng ngay ở tầng xác thực, toàn bộ tỷ lệ tài sản thế chấp và ngưỡng thanh lý trong hệ thống đều trở thành con số vô nghĩa. Kẻ tấn công không cần phá smart contract của Bonzo — chỉ cần bộ xác thực của Supra gật đầu là đủ.

Với Hedera, đây là cú đánh nặng vào uy tín. Mạng lưới này đang định vị mình là lựa chọn thay thế Ethereum dành cho doanh nghiệp, với tốc độ xử lý cao và niềm tin từ phía tổ chức. Một vụ hack 9 triệu đô trên giao thức cho vay hàng đầu của họ gửi đúng tín hiệu sai đến chính nhóm đối tượng mà Hedera đang muốn thu hút.

Với người dùng DeFi nói chung, đây là lời nhắc nhở rằng khi thẩm định bảo mật của giao thức, bạn phải kiểm tra cả tầng oracle, không chỉ smart contract cho vay. Trước khi nạp tài sản vào bất kỳ giao thức cho vay nào, trader kinh nghiệm thường kiểm tra lịch sử audit, thông số thanh lý, và ngày càng quan trọng hơn — nhà cung cấp oracle là ai và họ xác thực dữ liệu giá đầu vào như thế nào. Danh sách kiểm tra đó vừa dài thêm một mục.

Nếu bạn đang đánh giá các nền tảng DeFi hoặc công cụ giao dịch onchain, hãy xem qua phần đánh giá và so sánh sàn giao dịch để tìm những nền tảng có lịch sử bảo mật tốt hơn và minh bạch hơn về rủi ro.

Bối cảnh thị trường: DeFi chịu đòn trong lúc thị trường vĩ mô thận trọng

Vụ hack xảy ra đúng lúc thị trường tiền mã hóa đang thiếu khẩu vị rủi ro. Bitcoin đang giao dịch ở mức $63,954, giảm nhẹ 0,21% trong 24 giờ qua — đi ngang và không thuyết phục được phe bull. Ethereum đứng ở $1,804, tăng 0,51%, nhưng con số xanh nhạt đó không đủ để xóa đi tâm lý thận trọng bao trùm thị trường. Solana ở mức $76,59, giảm 1,39%, tiếp tục rời xa đỉnh gần đây.

Trong môi trường thị trường đi ngang hoặc có xu hướng giảm như thế này, các vụ hack DeFi nổi tiếng thường khuếch đại nỗi sợ hãi thay vì được xử lý như sự cố cô lập. Những người dùng vốn có thể chịu đựng rủi ro giao thức trong thị trường tăng giá sẽ nhanh tay rút thanh khoản và tìm nơi an toàn hơn khi bối cảnh vĩ mô đã không ổn định. Với những người còn tiền trong Bonzo Lend, thời điểm này không thể tệ hơn.

Vụ tấn công cũng xảy ra đúng lúc token HBAR của Hedera đang cố gắng lấy lại đà tăng. Một vụ hack lớn trên nền tảng cho vay nổi bật nhất của mạng lưới là loại tin tức có thể xóa sạch tiến trình đó chỉ trong một đêm.

tấn công oracle Bonzo Lend

Các góc nhìn khác nhau: Ba tờ báo, một vụ tấn công

Cách đưa tin về sự cố Bonzo Lend khác nhau đáng kể giữa các tờ báo. Đọc cả ba sẽ cho bức tranh đầy đủ hơn bất kỳ bài đơn lẻ nào.

CoinDesk: Tác động ở cấp độ mạng lưới

CoinDesk mở đầu bằng thiệt hại vĩ mô — mất 77% TVL — và đóng khung câu chuyện như một thứ làm chao đảo Hedera với tư cách là một mạng lưới, không chỉ là Bonzo với tư cách một giao thức. Góc nhìn của họ ít chú trọng vào kỹ thuật, mà tập trung vào ý nghĩa với uy tín của Hedera như một điểm đến DeFi — điều quan trọng với độc giả tổ chức và các đối tác hệ sinh thái tiềm năng.

Cointelegraph: Cơ chế oracle bị khai thác

Cointelegraph đào sâu hơn vào nguyên nhân kỹ thuật, xác định bộ xác thực oracle của Supra là vector tấn công. Họ kể đây là câu chuyện về oracle trước, câu chuyện về Bonzo sau — đây có thể là góc nhìn quan trọng hơn cho toàn ngành. Như Cointelegraph mô tả:

«kẻ tấn công đã thổi phồng giá trị tài sản thế chấp SAUCE và vay 9 triệu đô thông qua lỗ hổng trong bộ xác thực oracle onchain của Supra.»

Câu đó là bản thiết kế cho thấy dạng tấn công này hoạt động như thế nào — và là lời cảnh báo cho mọi giao thức đang dùng hạ tầng tương tự.

The Block: Tình tiết white hat

The Block là tờ duy nhất làm nổi bật ví cạnh tranh đã rút khoảng 1 triệu đô và tuyên bố mình là white hat, hứa sẽ hoàn trả. Chi tiết này thay đổi đáng kể màu sắc của câu chuyện. Nó cho thấy nhiều actor tinh vi đã theo dõi vụ exploit theo thời gian thực — và không phải tất cả đều có ý định xấu. Liệu white hat có thực sự hoàn trả hay không sẽ là dữ liệu quan trọng để đánh giá tính chân thực của tuyên bố đó.

Bài học cho trader: Rủi ro oracle phải có mặt trong checklist thẩm định của bạn

Nhìn từ góc độ của một trader lâu năm, vụ tấn công oracle Bonzo Lend là bài học điển hình về lý do tại sao niềm tin vào hạ tầng DeFi phải được kiếm ở từng tầng, không phải mặc định vì hợp đồng cho vay đã qua audit. Nhà cung cấp oracle giờ đây quan trọng để đánh giá ngang với chính giao thức — và bất kỳ nền tảng cho vay nào không thể giải thích rõ cách xác thực dữ liệu giá đầu vào đều xứng đáng bị xem xét kỹ trước khi bạn nạp tiền vào. Với những ai đang dùng cả nền tảng DeFi lẫn sàn tập trung, theo dõi tin tức bảo mật và thị trường crypto mới nhất là cách thiết thực để đi trước các dạng tấn công mới trước khi chúng chạm đến danh mục của bạn.