Mất 145.000 đô la khi tin tặc sử dụng Merkl để thực hiện các vụ lừa đảo DeFi chưa được xác minh

Hacker vừa tìm ra một cách mới để tấn công người dùng tài chính phi tập trung (DeFi). Lần này, chúng lợi dụng Merkl — nền tảng khuyến khích DeFi “một cửa” — để tạo ra các chiến dịch giả mạo, chưa được xác minh và rút sạch tiền gửi của người dùng. Vụ việc nhắm đến người dùng trên Sonic thông qua giao thức Euler, gây thiệt hại hơn 145.000 USD.

Hacker tạo chiến dịch lợi nhuận cao giả mạo

Theo người dùng DeFi có tên YAM, một kẻ tấn công đã lợi dụng cơ chế mở của Merkl để tạo các chiến dịch giả, trông như mang lại lợi suất APR ba chữ số. Chiến dịch này mời người dùng gửi USDC vào một vault trông hợp pháp trên Euler thông qua Sonic. Tuy nhiên, ngay sau khi người dùng nạp tiền, kẻ tấn công đã rút sạch toàn bộ số tiền đó.

Vì Euler Finance là một giao thức phi cấp phép, bất kỳ ai cũng có thể triển khai thị trường mà không cần phê duyệt. Kẻ tấn công đã sử dụng tính năng này để tạo một thị trường giả, dùng token scUSD làm tài sản thế chấp và USDC làm khoản vay. Sau đó, hắn thao túng giá oracle — nguồn dữ liệu quan trọng trong DeFi — bằng cách đặt mức giá vô lý 1 triệu USD cho mỗi scUSD. Nhờ đó, hắn có thể vay 700.000 USDC chỉ với một scUSD, qua đó kiểm soát hoàn toàn tài sản trong vault.

Cách thức vụ lừa đảo diễn ra

Sau khi thị trường giả được tạo, kẻ tấn công tung ra một chiến dịch chưa xác minh trên Merkl, quảng cáo lợi suất cực cao để thu hút tiền gửi. Người dùng nạp USDC vào chiến dịch này đã bị rút tiền, chuyển đổi sang ETH, rồi gửi đến RAILGUN Project — một giao thức bảo mật thường được dùng để che giấu giao dịch.

Dữ liệu on-chain cho thấy ví chính của kẻ tấn công là 0x8ba913e…, các khoản tiền sau đó được chuyển đến 0xa86399… trước khi biến mất trong RAILGUN. Đáng chú ý, một người dùng (địa chỉ 0xc0f8fe…) đã kịp rút tiền trước khi vault bị rút sạch, có thể vì hacker không theo dõi sát tình hình.

Phản ứng của cộng đồng DeFi

Sau khi vụ việc bị phát hiện, YAM kêu gọi người dùng cẩn trọng khi tham gia các chiến dịch chưa xác minh trên Merkl, đồng thời đề nghị đội ngũ dự án tăng cường cảnh báo bằng các thông báo pop-up rõ ràng hơn.

Michael Bentley, đồng sáng lập kiêm CEO của Euler Labs, xác nhận vault liên quan được gắn nhãn “chưa xác minh” và có cảnh báo rủi ro. Ông cho biết trang web Euler chỉ cho phép truy cập vault chưa xác minh sau khi người dùng tự kích hoạt tùy chọn chấp nhận rủi ro. “Chúng tôi đã chặn vĩnh viễn tất cả liên kết đến vault này để ngăn việc sử dụng thêm,” Bentley nói.

Một số thành viên cộng đồng đặt câu hỏi làm thế nào để xác minh oracle của một thị trường là hợp lệ. YAM giải thích rằng oracle cung cấp dữ liệu giá ngoài đời thực cho các ứng dụng DeFi, thường do người quản lý thị trường kiểm soát và phải được thiết lập cẩn thận. Chỉ một sai sót nhỏ — chẳng hạn sai số thập phân hoặc multisig không an toàn — cũng có thể mở đường cho các vụ khai thác như lần này.

Kêu gọi tăng cường biện pháp bảo vệ

Sự cố này nhấn mạnh vấn đề cố hữu của DeFi: cân bằng giữa tính mở và an toàn cho người dùng. Các nền tảng như Merkl và Euler cho phép bất kỳ ai tạo hoặc tham gia thị trường, nhưng sự tự do đó cũng mở cửa cho kẻ tấn công. Dù các dự án đã gắn nhãn cảnh báo rõ ràng, số lượng vụ lừa đảo ngày càng tăng cho thấy cảnh báo thôi là chưa đủ.

Hiện người dùng đang kêu gọi áp dụng thêm các biện pháp, như kiểm tra xác minh bắt buộc hoặc xác nhận giao dịch bổ sung, để bảo vệ tiền gửi. Các chuyên gia khuyến nghị người dùng chỉ nên tương tác với các chiến dịch đã xác minh và kiểm tra kỹ hợp đồng trước khi gửi tiền. Vụ khai thác 145.000 USD này là lời nhắc rõ ràng rằng trong thế giới DeFi mở, sự thận trọng vẫn là hàng rào phòng vệ tốt nhất.