Chỉ với 250 token SAUCE trị giá chưa đầy 5 đô la, một hacker đã rút sạch 9.05 triệu đô la từ Bonzo Lend trên Hedera. Bạn có tin không? Tôi cũng không tin — cho đến khi nhìn vào dữ liệu on-chain.
Đây không phải một vụ hack cầu kỳ với nhiều hợp đồng thông minh. Nó diễn ra trong 8 giây: nạp 250 SAUCE, thao túng giá oracle, vay toàn bộ thanh khoản USDC và wHBAR. Và rồi, im lặng.
Khi tôi còn là một cô gái 31 tuổi viết whitepaper cho Tendermint, tôi từng tin rằng phi tập trung có thể giải quyết mọi vấn đề. 9 năm sau, ở tuổi 40, tôi nhận ra: công nghệ không tự động mang lại sự an toàn. Nó chỉ phản ánh những lựa chọn thiết kế của con người. Và Bonzo Lend đã chọn sai.
Bối cảnh: Khi một oracle trở thành gót chân Achilles
Bonzo Lend là giao thức cho vay phi tập trung trên Hedera — một blockchain được quản lý bởi hội đồng doanh nghiệp, nhưng lại chạy một DeFi khá… truyền thống. Họ tích hợp Supra làm nguồn oracle duy nhất để lấy giá tài sản.
Supra là ai? Một nhà cung cấp oracle ít tên tuổi hơn Chainlink, nhưng lại được vài dự án Hedera tin dùng. Vấn đề không nằm ở danh tiếng. Vấn đề nằm ở kiến trúc: Bonzo Lend tin tưởng tuyệt đối vào một nguồn dữ liệu duy nhất, không có cơ chế dự phòng, không có kiểm tra độ lệch giá, không có trung bình trọng số thời gian.
Trong thế giới DeFi, điều này tương đương với việc để cửa nhà mở và treo biển “Mời vào cướp”.
Tôi đã thấy điều này nhiều lần trong các audit của mình. Các đội ngũ trẻ, thiếu kinh nghiệm, thường chọn oracle rẻ nhất hoặc dễ tích hợp nhất, mà quên rằng chi phí thực sự là khi kẻ tấn công chỉ cần bỏ ra vài đô la để gây thiệt hại hàng triệu.
Core: Giải phẫu vụ hack 8 giây
Hãy xem xét kỹ thuật. Vụ tấn công không khai thác lỗi trong hợp đồng cho vay của Bonzo Lend. Nó khai thác lỗ hổng xác thực trong hợp đồng oracle của Supra. Cụ thể, kẻ tấn công đã gửi một mức giá giả mạo đến oracle contract, và Bonzo Lend – vì không có bất kỳ lớp kiểm tra nào – đã tin ngay lập tức.
Kết quả? 250 SAUCE (vài đô la) được định giá thành 9 triệu đô la ảo. Hacker dùng số tài sản ảo đó làm tài sản thế chấp, vay toàn bộ USDC và wHBAR có trong pool. Toàn bộ quá trình: 8 giây.
Điều này cho thấy ba thất bại thiết kế:
- Không có kiểm tra độ lệch giá (price deviation check): Nếu Bonzo Lend so sánh giá mới với giá trước đó và thấy sự chênh lệch hàng nghìn phần trăm, lẽ ra nó phải từ chối giao dịch. Nhưng nó không làm vậy.
- Không có trung bình trọng số thời gian (TWAP): Các giao thức trưởng thành như Compound sử dụng TWAP từ nhiều oracle để giảm ảnh hưởng của thao túng tức thời. Bonzo Lend dùng giá spot từ một nguồn duy nhất.
- Không có giới hạn vay dựa trên thanh khoản thực tế: Một người dùng với 5 đô la tài sản thế chấp không thể vay 9 triệu trong mọi hệ thống lành mạnh. Nhưng vì oracle báo cáo sai, hợp đồng cho vay nghĩ rằng tài sản thế chấp đủ lớn.
Dựa trên kinh nghiệm audit của tôi, tôi dám chắc rằng Bonzo Lend chưa từng được kiểm toán bởi một công ty uy tín về đường dẫn oracle. Hoặc nếu có, audit đó đã bỏ qua kịch bản này. Đây là lỗi sơ đẳng mà bất kỳ ai đã từng làm việc với DeFi đều phải biết.
Hậu quả: Pool thanh khoản của Bonzo Lend bị rút sạch. Những người cung cấp thanh khoản (LP) mất trắng 9 triệu đô la. Họ không phải là hacker, họ chỉ là những người tin rằng code là luật — nhưng code đó lại có lỗ hổng chết người.
Contrarian: Bài học không chỉ dành cho Bonzo
Bạn nghĩ rằng chuyện này chỉ ảnh hưởng đến một giao thức nhỏ trên Hedera? Sai. Nó gây ra hiệu ứng domino cho toàn bộ hệ sinh thái DeFi.
Trong thị trường giảm hiện tại, mọi người dễ hoảng sợ. Nhưng tôi nhìn thấy một cơ hội: đây là lúc để thanh lọc những dự án cẩu thả. Những ai sống sót qua cơn bão này sẽ là những người thực sự hiểu về bảo mật.
Góc nhìn phản trực giác: Vụ hack này không làm tôi mất niềm tin vào DeFi. Ngược lại, nó củng cố niềm tin rằng những giao thức có thiết kế vững chắc (như Aave hay Compound với nhiều lớp oracle) sẽ càng trở nên giá trị hơn. Thị trường đang thưởng cho sự an toàn, không phải sự hào nhoáng.
Hãy nhìn vào các giao thức từng bị hack nhưng đã đứng dậy: chúng trở nên mạnh mẽ hơn. Bonzo Lend có thể làm được không? Chỉ nếu họ thừa nhận lỗi, bồi thường cho LP, và xây dựng lại với kiến trúc an toàn hơn.
Tuy nhiên, tôi nghi ngờ điều đó. Hedera là một blockchain được thiết kế cho doanh nghiệp, nơi mà sự ổn định và tin cậy là ưu tiên hàng đầu. Một vụ hack 9 triệu có thể khiến các thành viên hội đồng Hedera đặt câu hỏi về toàn bộ chiến lược DeFi của họ. Liệu họ có tiếp tục hỗ trợ các giao thức rủi ro như Bonzo Lend? Câu trả lời sẽ định hình tương lai của hệ sinh thái.
Takeaway: Những gì bạn có thể làm ngay hôm nay
Đối với nhà đầu tư và người dùng DeFi, đây là lời nhắc nhở: không bao giờ tin tưởng mù quáng vào một oracle duy nhất. Hãy kiểm tra xem giao thức bạn đang dùng có sử dụng nhiều nguồn giá không? Có cơ chế dự phòng không? Có từng bị hack không?
Đối với các nhà phát triển: đừng coi oracle là “commodity”. Hãy xử lý nó như một phần quan trọng nhất trong bảo mật của bạn. Nếu bạn không có đủ kiến thức, hãy thuê người audit. Chi phí audit rẻ hơn nhiều so với 9 triệu đô la.
Cuối cùng, tôi muốn gửi một câu hỏi đến bạn: Bạn có sẵn sàng gửi tiền vào một giao thức mà chỉ cần 5 đô la để phá sản? Nếu không, hãy hành động ngay hôm nay.
Code is law, but law is not code. Một dòng code sai có thể phá hủy cả một hệ thống. Nhưng một cộng đồng tỉnh táo có thể xây dựng lại từ đống tro tàn. Hãy là người tỉnh táo.