Giao thức LML trên BSC bị tấn công thao túng giá 950.000 USD

Một giao thức staking trên Binance Smart Chain (BSC) đã gặp phải một cuộc tấn công lớn. Cuộc tấn công này đã nhắm vào pool LML/USDT và gây ra thiệt hại khoảng 950.000 USD. Công ty bảo mật BlockSec đã phát hiện ra vấn đề này thông qua hệ thống giám sát Phalcon của họ. 

CẢNH BÁO! Hệ thống của chúng tôi đã phát hiện một cuộc tấn công đáng ngờ nhắm vào một hợp đồng không xác định, được cho là giao thức staking LML/USDT, trên #BSC cách đây vài giờ, dẫn đến thiệt hại ước tính khoảng 950.000 USD.

Trong khi hợp đồng bị tấn công không phải là mã nguồn mở, phân tích của chúng tôi cho thấy có khả năng có một thiết kế giá cả… pic.twitter.com/OaTK43MviV

— BlockSec Phalcon (@Phalcon_xyz) Ngày 1 tháng 4 năm 2026

Các phát hiện ban đầu cho thấy kẻ tấn công đã sử dụng một chiêu trò thao túng giá để rút thưởng từ giao thức LML của BSC. Sự cố này làm dấy lên lo ngại về cách một số giao thức xử lý giá cả và phần thưởng.

Cuộc tấn công đã diễn ra như thế nào?

Kẻ tấn công đã thực hiện theo một kế hoạch rõ ràng. Đầu tiên, họ đã đẩy giá của token LML lên cao. Họ đã làm điều này bằng cách thực hiện các giao dịch lớn trong pool thanh khoản. Điều này đã tạo ra một đợt tăng giá tạm thời. Tiếp theo, họ đã sử dụng nhiều ví đã gửi tiền vào giao thức LML của BSC. Những ví này nằm dưới sự kiểm soát của kẻ tấn công.

Sau đó, họ đã yêu cầu phần thưởng staking trong khi giá vẫn còn cao. Vì phần thưởng dựa trên giá đã bị thổi phồng này, nên khoản thanh toán lớn hơn nhiều so với bình thường. Cuối cùng, kẻ tấn công đã bán các token với giá cao hơn. Điều này hoàn tất chu trình và khóa lợi nhuận. Nói một cách đơn giản, kẻ tấn công đã tạo ra một mức giá giả, yêu cầu phần thưởng dựa trên nó và sau đó rút tiền.

Điểm yếu chính trong giao thức LML

Vấn đề chính đến từ cách giao thức LML của BSC tính toán phần thưởng. Nó sử dụng một loại giá cho phần thưởng và một loại khác cho các giao dịch thực tế. Cụ thể hơn, phần thưởng dựa trên một bức tranh hoặc giá trung bình. Nhưng kẻ tấn công đã bán token LML bằng giá thị trường theo thời gian thực. Sự không khớp này đã tạo ra một cơ hội. Kẻ tấn công có thể thổi phồng giá trực tiếp và vẫn yêu cầu phần thưởng dựa trên các tính toán đã lỗi thời.

Vì khoảng cách này, hệ thống đã không thể tự bảo vệ mình. Nó cho phép kẻ tấn công sử dụng cả hai phương pháp định giá cùng một lúc. Các chuyên gia tin rằng các tính năng bảo mật tốt hơn có thể đã ngăn chặn được điều này. Việc sử dụng các oracle giá mạnh hơn hoặc kiểm tra nghiêm ngặt hơn có thể giảm thiểu các rủi ro như vậy.

Tại sao những cuộc tấn công này vẫn tiếp diễn?

Các cuộc tấn công thao túng giá không phải là điều mới trong DeFi. Chúng thường xảy ra khi các giao thức phụ thuộc vào các hệ thống định giá yếu. Nhiều nền tảng vẫn dựa vào giá từ các pool thanh khoản. Những giá này có thể dễ dàng bị ảnh hưởng bởi các giao dịch lớn hoặc các khoản vay chớp nhoáng.

Không có các biện pháp bảo vệ thích hợp, kẻ tấn công có thể lặp lại các chiến lược tương tự nhiều lần. Thực tế, đã có nhiều vụ khai thác như vậy được báo cáo trong những tháng gần đây. Điều này cho thấy một vấn đề lớn hơn trong lĩnh vực này. Trong khi DeFi vẫn đang phát triển, thiết kế bảo mật thường gặp khó khăn trong việc theo kịp.

Điều này có nghĩa gì cho người dùng và nhà phát triển?

Đối với người dùng, đây là một lời nhắc nhở để luôn cẩn trọng. Phần thưởng cao đôi khi đi kèm với những rủi ro tiềm ẩn. Đối với các nhà phát triển, thông điệp còn rõ ràng hơn. Các hệ thống định giá mạnh mẽ không phải là tùy chọn. Chúng là điều cần thiết. Các dự án cần sử dụng các công cụ tốt hơn, chẳng hạn như định giá theo thời gian và các oracle an toàn. Họ cũng phải kiểm tra hệ thống của mình trong các điều kiện khắc nghiệt. 

Cuối cùng, cuộc tấn công vào giao thức LML của BSC không chỉ liên quan đến một giao thức. Nó phản ánh một thách thức rộng lớn hơn trong DeFi. Khi không gian này phát triển, nhu cầu về bảo mật mạnh mẽ và thông minh cũng tăng lên.