Lỗ hổng bảo mật MakinaFi khiến 4,1 triệu USD bị rút sạch khi các bot MEV chiếm đoạt tiền từ các giao dịch

Makina Finance, một nền tảng DeFi chuyên về tạo lợi suất và quản lý tài sản, đã hứng chịu một vụ tấn công bảo mật nghiêm trọng. Ngày 20/1, các hacker đã khai thác một pool stablecoin của nền tảng này. Chúng đánh cắp khoảng 1.299 ETH, tương đương gần 4,1 triệu USD theo giá hiện tại.

#PeckShieldAlert @makinafi has been exploited for ~1,299 $ETH (~$4.13M).

The hacker was frontrun by MEV Builder (0xa6c2…).

The stolen funds are currently held in 2 addresses:
0xbed2…dE25 ($3.3M) & 0x573d…910e ($880K) pic.twitter.com/Q5WzHpfq7j

— PeckShieldAlert (@PeckShieldAlert) January 20, 2026

Vụ tấn công lần đầu được báo cáo bởi công ty bảo mật blockchain PeckShield. Gần như ngay lập tức, chỉ trong vài phút, các công cụ theo dõi on-chain đã phát hiện số tiền bị đánh cắp được chuyển vào hai ví. Sự cố này một lần nữa làm dấy lên lo ngại về rủi ro của các nền tảng DeFi, ngay cả khi đã bước sang năm 2026. Đây không phải là một lỗi nhỏ. Đó là một đòn tấn công gọn gàng và cực kỳ nhanh.

Chuyện Gì Đã Xảy Ra?

Mục tiêu của vụ tấn công là pool DUSD/USDC của MakinaFi trên Curve. Cụ thể, pool này được xây dựng trên Curve Finance, kết nối token tạo lợi suất DUSD của Dialectic với USDC. Trong vụ việc này, hacker đã sử dụng một cuộc tấn công flash loan kinh điển. Điều này có nghĩa là chúng vay một lượng crypto rất lớn trong vài giây, sau đó dùng số tiền này để thao túng giá. Tiếp theo là rút sạch pool và hoàn trả khoản vay, tất cả chỉ trong một giao dịch duy nhất.

Phiên bản đơn giản của sự việc như sau: Kẻ tấn công vay vốn từ các giao thức như Aave và Morpho, rồi thực hiện một chuỗi hoán đổi trên Curve và Uniswap. Bằng cách thao túng giá trong pool, chúng rút được giá trị lớn hơn mức đáng lẽ có thể. Cuối cùng, hacker mang đi 1.299 ETH.

MEV Bot Cũng Nhảy Vào

Không chỉ có hacker kiếm tiền từ vụ việc này. Một bot MEV builder cũng đã tham gia. Các bot MEV liên tục quét blockchain để tìm kiếm giao dịch có lợi nhuận và cố gắng frontrun. Trong trường hợp này, một địa chỉ MEV builder bắt đầu bằng 0xa6c2 đã chen vào gói giao dịch và lấy được một phần nhỏ lợi nhuận. Con số chỉ khoảng 0,13 ETH. Tuy nhiên, điều này cho thấy môi trường giao dịch trên Ethereum đã trở nên đông đúc và cạnh tranh đến mức nào. Ngay cả hacker giờ đây cũng phải tranh lợi nhuận với bot. Thị trường crypto thực sự là miền viễn tây.

Số Tiền Bị Đánh Cắp Hiện Ở Đâu?

Số ETH bị đánh cắp hiện đang nằm trong hai ví:

0xbed2…dE25 nắm giữ khoảng 3,3 triệu USD

0x573d…910e nắm giữ khoảng 880.000 USD

Cho đến nay, số tiền này chưa được trộn hoặc chuyển qua các công cụ bảo mật quyền riêng tư. Điều này tạo cơ hội cho các nhà điều tra theo dõi từng động thái. Các công ty bảo mật như PeckShield, ExVul và TenArmor đã cảnh báo người dùng thu hồi quyền cấp cho hợp đồng và tạm thời tránh tương tác với các hợp đồng của MakinaFi. Phía Makina hiện vẫn chưa đưa ra tuyên bố chính thức.

Vì Sao Điều Này Quan Trọng Với Người Dùng DeFi?

MakinaFi được biết đến với các chiến lược tạo lợi suất nâng cao, sử dụng những công cụ DeFi như Curve, Aave và Uniswap. Token DUSD của nền tảng được thiết kế để tạo lợi suất thông qua các chiến lược on-chain thông minh. Tuy nhiên, vụ tấn công này cho thấy một thực tế khắc nghiệt: ngay cả những hệ thống DeFi phức tạp và được thiết kế tốt vẫn có thể bị khai thác. Tấn công flash loan vẫn là một trong những cách phổ biến nhất để hacker đánh cắp tiền.

Các pool stablecoin thường là mục tiêu hàng đầu vì sở hữu thanh khoản sâu. Trong năm 2025 và đầu 2026, các vụ hack DeFi đã khiến người dùng thiệt hại hàng tỷ USD. Bài học rất rõ ràng. Khi tiền của bạn nằm on-chain, nó luôn đối mặt với rủi ro. DeFi di chuyển rất nhanh. Hacker còn nhanh hơn.