1 triệu đô la biến mất! Moonwell bị Oracle khai thác lỗ hổng trên Base và sự lạc quan

Bởi

Triparna Baishnab

about 5 hours ago

Moonwell bị tấn công với lỗ hổng trị giá 1 triệu đô la khi kẻ tấn công sử dụng nguồn cấp dữ liệu oracle rsETH/ETH bị lỗi trên Base & Optimism. DeFi bị lung lay.

1 triệu đô la biến mất! Moonwell bị Oracle khai thác lỗ hổng trên Base và sự lạc quan

Tóm tắt nhanh

Tóm tắt được tạo bởi AI, đã được phòng tin tức xem xét.

Moonwell, một giao thức cho vay DeFi, đã bị khai thác trên Base và Optimism, dẫn đến thiệt hại hơn 1 triệu đô la.
Cuộc tấn công đã được phát hiện bởi BlockSec, một công ty bảo mật blockchain hàng đầu.
Lỗ hổng này bắt nguồn từ nguồn cấp giá rsETH/ETH bị lỗi do một oracle ngoài chuỗi cung cấp.
Sự cố bắt nguồn từ bản cập nhật giao thức đã vô tình thay thế dữ liệu giá chính xác của oracle.

Một vụ khai thác đáng kể xảy ra vào ngày 4 tháng 11 năm 2025 trên giao thức cho vay phi tập trung Moonwell trên cả mạng Base và Optimism. Công ty bảo mật BlockSec ghi nhận các bất thường trong hợp đồng thông minh của Moonwell và phát hiện rằng các tin tặc đã lợi dụng sai sót về giá trong dữ liệu oracle ETH/ETH.

Vụ tấn công khiến hơn 1 triệu USD bị mất, trở thành một trong những vụ vi phạm an ninh DeFi lớn nhất trong vài tháng gần đây. Các tin tặc lợi dụng nguồn cấp dữ liệu giá để thao túng. Thao túng này cho phép họ thực hiện arbitrage và rút tiền từ các pool cho vay. Chênh lệch giá giúp họ vay dựa trên giá trị tài sản thế chấp bị thổi phồng nhân tạo. Quan sát trên chuỗi của BlockSec cho thấy các giao dịch đã tạo ra mô hình giá bất thường, đồng thời kích hoạt nhiều điểm thanh lý cao.

Tác động kinh tế và công nghệ của Moonwell

Các nhà phân tích đánh giá sự kiện này là một hạn chế trong cấu hình oracle, bao gồm chu kỳ cập nhật lỗi thời và ngưỡng sai số rộng. Đây không phải là lần đầu Moonwell gặp lỗ hổng. Một vụ khai thác khác xảy ra vào tháng 12 năm 2024 đã khiến hơn 320.000 USD bị mất do cuộc tấn công flash loan. Những sự cố lặp lại này cho thấy các vấn đề liên tục về độ tin cậy của hợp đồng thông minh và oracle.

Chỉ riêng năm 2024, hơn 1,2 tỷ USD đã bị đánh cắp từ các vụ khai thác DeFi, trong đó thao túng oracle là một trong những công cụ tấn công hiệu quả nhất. Sự biến dạng giá liên quan đến các bot MEV vẫn là mối đe dọa lớn đối với các giao thức dựa vào dữ liệu off-chain. Vụ khai thác này làm dấy lên lo ngại rằng các câu hỏi về hệ thống oracle DeFi sẽ lại được đặt ra, như các chuyên gia bảo mật cảnh báo. Các tổ chức như BlockSec và PeckShield có khả năng sẽ công bố báo cáo phân tích nguyên nhân kỹ thuật.

Vụ khai thác Moonwell cho thấy hệ sinh thái DeFi vẫn còn yếu, mặc dù đang được áp dụng rộng rãi. Một oracle giá bị thiết lập sai đã tạo ra hiệu ứng domino, khiến hơn 1 triệu USD bị mất chỉ trong vài phút. Dù phản ứng nhanh của BlockSec đã ngăn chặn thiệt hại tiếp theo, nhưng sự việc vẫn gây lo lắng. Các nhà đầu tư hiện đang căng thẳng trước Moonwell. Sự vi phạm này nhấn mạnh nhu cầu thiết lập cơ chế xác thực oracle đa nguồn và cập nhật nhanh hơn các chu kỳ heartbeat để tránh những vụ tấn công tương tự.