theblock101
img-menu-search
Tiếng Việt

    StakeDAO bị tấn công. Hacker tạo 5,4 nghìn tỷ vsdCRV nhưng chỉ rút được 91.000 USD

    Tin mớiTin tức
    ByHanaLuong27/05/2026

    Tóm tắt nhanh nội dung chính

    • Một hacker đã mint trái phép hơn 5,4 nghìn tỷ token vsdCRV trên Arbitrum sau nghi vấn lộ deployer key của StakeDAO.
    • Dù giá trị danh nghĩa của số token này lên tới hàng trăm tỷ USD, thanh khoản quá thấp khiến hacker chỉ rút được khoảng 91.000 USD.
    • Vụ việc tiếp tục làm dấy lên lo ngại về các private key quản trị, điểm yếu đang trở thành mục tiêu tấn công lớn nhất của DeFi năm 2026.

    Thị trường DeFi tiếp tục chứng kiến thêm một vụ exploit gây chú ý khi một attacker đã tạo trái phép hơn 5,4 nghìn tỷ token vsdCRV trên mạng Arbitrum sau nghi vấn liên quan đến việc deployer key của StakeDAO bị xâm phạm.

    Điều đáng chú ý là dù số token được mint có giá trị “trên giấy” lên tới hàng trăm tỷ USD, hacker cuối cùng chỉ thu về khoảng 91.000 USD do thanh khoản của thị trường vsdCRV gần như không đủ để thoát hàng.

    Sự cố một lần nữa cho thấy khoảng cách rất lớn giữa giá trị danh nghĩa của token trong DeFi và lượng giá trị thực sự có thể được khai thác từ các pool thanh khoản on-chain.

    Hacker mint hơn 5,4 nghìn tỷ vsdCRV chỉ trong vài giây

    Stake DAO cho biết họ đã nắm được sự việc. Nguồn: Stake DAO
    Stake DAO cho biết họ đã nắm được sự việc. Nguồn: Stake DAO

    Theo phân tích từ công ty bảo mật blockchain PeckShield, attacker đã mint hơn 5,4 nghìn tỷ vsdCRV trên Arbitrum trước khi swap một phần token sang khoảng 43,7 ETH.

    Số ETH này sau đó được bridge sang mạng Ethereum mainnet với tổng giá trị khoảng 91.000 USD.

    Nhà phân tích on-chain EmberCN cho biết attacker chỉ có thể swap khoảng 16,83 triệu vsdCRV, trong khi phần lớn lượng token còn lại gần như không có thanh khoản để bán ra thị trường.

    Dựa trên mức giá hiện tại của vsdCRV, lượng token được mint trái phép này có giá trị lý thuyết khoảng 763 tỷ USD. Tuy nhiên, đây chỉ là con số mang tính kỹ thuật trên giấy tờ chứ không phản ánh khoản lợi nhuận thực tế mà hacker thu được.

    Trong DeFi, giá trị thực sự mà attacker có thể khai thác phụ thuộc gần như hoàn toàn vào thanh khoản của các pool giao dịch.

    Thanh khoản thấp khiến hacker “ôm núi token vô dụng”

    Vụ exploit StakeDAO đang trở thành ví dụ điển hình cho một thực tế quen thuộc trong DeFi: mint được token không đồng nghĩa với việc có thể rút được lượng tiền tương ứng.

    Dù attacker sở hữu lượng vsdCRV khổng lồ, quy mô thanh khoản của token này trên thị trường quá nhỏ để hấp thụ lượng bán lớn.

    Kết quả là hacker chỉ có thể swap được một phần rất nhỏ trước khi pool thanh khoản bị hút cạn và giá token gần như sụp đổ hoàn toàn.

    Các chuyên gia cho rằng nhiều vụ exploit DeFi hiện nay thường tạo ra những con số thiệt hại “khổng lồ” trên lý thuyết, nhưng khoản lợi nhuận thực tế mà hacker thu được đôi khi thấp hơn rất nhiều.

    Trong trường hợp của StakeDAO, chênh lệch giữa giá trị danh nghĩa 763 tỷ USD và số tiền thực tế khoảng 91.000 USD đã phản ánh rõ điều này.

    Nghi vấn deployer key bị xâm phạm

    Theo Shalev Keren - đồng sáng lập kiêm Giám đốc sản phẩm của công ty quản lý private key Sodot vụ việc lần này có cấu trúc rất giống nhiều cuộc tấn công liên quan deployer key trong năm 2026.

    Ông cho biết attacker đã sử dụng một deployer key của StakeDAO trên Arbitrum để thay đổi cấu hình bridge cross-chain của vsdCRV sang một smart contract do hacker kiểm soát trên Ethereum.

    Khoảng 25 giây sau khi cấu hình bị thay đổi, contract độc hại đã gửi một thông điệp LayerZero quay trở lại Arbitrum, khiến token vsdCRV hợp pháp mint hơn 5 nghìn tỷ token trực tiếp vào ví attacker.

    Keren nhấn mạnh rằng vụ việc không xuất phát từ lỗi smart contract hay lỗ hổng của LayerZero.

    Theo ông, nguyên nhân cốt lõi nằm ở việc một private key duy nhất có quyền thay đổi cấu hình đặc quyền mà không có multisig hoặc cơ chế delay bảo vệ.

    DeFi đang bước vào “kỷ nguyên hack private key”

    Những năm trước, phần lớn các vụ hack crypto thường xuất phát từ lỗi code hoặc bug trong smart contract. Tuy nhiên, năm 2026 đang chứng kiến một xu hướng mới: hacker tập trung ngày càng nhiều vào private key, quyền quản trị và hệ thống vận hành nội bộ.

    Shalev Keren cho rằng câu hỏi lớn nhất với DeFi hiện nay không còn là “smart contract đã audit chưa”, mà là liệu các private key quản trị có đang trở thành điểm thất bại duy nhất của toàn hệ thống hay không.

    Trước đó, nhiều giao thức DeFi khác cũng đã trở thành nạn nhân của các vụ deployer-key exploit tương tự, bao gồm vụ tấn công vào Wasabi hồi tháng trước khiến khoảng 5,5 triệu USD tài sản bị đánh cắp.

    Sau sự cố, StakeDAO đã nhanh chóng cảnh báo người dùng không tương tác với vsdCRV cho tới khi có thông báo mới.

    Bài toán bảo mật của DeFi ngày càng phức tạp

    Vụ việc StakeDAO tiếp tục cho thấy DeFi đang đối mặt với một thách thức lớn hơn nhiều so với những lỗ hổng code truyền thống.

    Khi các giao thức ngày càng phụ thuộc vào bridge cross-chain, hệ thống quản trị và quyền admin đặc biệt, rủi ro không còn nằm ở logic hợp đồng thông minh mà chuyển sang cách quản lý quyền truy cập và private key.

    Dù thiệt hại tài chính thực tế trong vụ exploit lần này không quá lớn, sự cố vẫn là lời cảnh báo rõ ràng rằng chỉ một deployer key bị xâm phạm cũng đủ để khiến toàn bộ cơ chế tokenomics của một giao thức sụp đổ trong vài phút.

    Đọc thêm

     

     

    Disclaimer: Nghị quyết số 05/2025/NQ-CP ngày 9/9/2025 của Chính phủ, toàn bộ thông tin trên Theblock101.com chỉ mang tính chất tham khảo, không phải là khuyến nghị tài chính hay tư vấn đầu tư.

    Thảo luận thêm tại

    Facebook:https://www.facebook.com/groups/bigcoincommunity

    Telegram: https://t.me/Bigcoinnews

    Twitter: https://twitter.com/BigcoinVN 

    HanaLuong

    HanaLuong

    Bitcoin is a technological tour de force. — Bill Gates

    0 / 5 (0Bình chọn)

    Bài viết liên quan

    Tin xem nhiều
    QR Code2

    Bạn muốn cập nhật những kiến thức phân tích thị trường và bài học đầu tư nhanh nhất?

    Đăng ký nhận tin từ Theblock101