Một hacker vừa khai thác lỗ hổng trên giao thức DeFi StakeDAO bằng cách mint trái phép khoảng 5,4 nghìn tỷ token vsdCRV trên mạng Arbitrum, sau đó hoán đổi một phần số token này để lấy khoảng 91.000 USD ETH.
Vụ việc không chỉ ảnh hưởng tới StakeDAO mà còn lan sang nhiều giao thức khác như Curve Finance và Beefy Finance, tiếp tục làm dấy lên lo ngại về rủi ro bảo mật của hạ tầng cross-chain và chuẩn omnichain token trong DeFi.
Nội dung bài viết
StakeDAO bị hack, hacker mint trái phép 5,4 nghìn tỷ token
Theo thông tin được Fiahub ghi nhận hacker đã khai thác lỗ hổng liên quan tới token vsdCRV của StakeDAO trên Arbitrum. Sau khi kiểm soát hệ thống xác thực cross-chain, hacker đã mint khoảng 5.446.744.073.709 token vsdCRV không có tài sản bảo chứng thực tế phía sau.
Theo dữ liệu từ PeckShield, hacker sau đó đã swap một phần số token vừa mint để lấy khoảng 43,78 ETH, tương đương khoảng 91.170 USD tại thời điểm vụ hack xảy ra, trước khi bridge tài sản sang địa chỉ Ethereum 0xeF3C…aa25.
StakeDAO hiện là giao thức DeFi có khoảng 131 triệu USD TVL và hoạt động chủ yếu trong hệ sinh thái Curve Finance. Sau vụ việc, StakeDAO đã cảnh báo người dùng ngừng tương tác với token vsdCRV cho tới khi có thông báo mới. Tuy nhiên, giao thức vẫn chưa công bố đầy đủ quy mô thiệt hại hoặc thời gian khắc phục sự cố.
Hacker được cho là đã đánh cắp deployer private key
Theo công ty bảo mật blockchain Blockaid, nguyên nhân ban đầu được cho là hacker đã chiếm quyền deployer private key của StakeDAO. Sau khi kiểm soát khóa này, hacker đã thay đổi peer configuration trong hợp đồng vsdCRV sử dụng công nghệ LayerZero OFT.
Cụ thể, hacker thay thế địa chỉ peer hợp lệ bằng một địa chỉ do mình kiểm soát, sau đó gửi trusted cross-chain message giả mạo để kích hoạt việc mint token trái phép trên Arbitrum. Điều này cho phép attacker tự do tạo số lượng token gần như không giới hạn mà không cần tài sản bảo chứng thực tế.
Blockaid cho biết đường tấn công lần này không phải lỗi trực tiếp từ verifier của LayerZero, mà đến từ việc private key quản trị bị xâm phạm. Tuy nhiên, mô hình khai thác vẫn tương tự nhiều vụ tấn công cross-chain gần đây: giả mạo thông điệp xác thực để mint token trên chain đích.
LayerZero OFT tiếp tục trở thành tâm điểm lo ngại
Theo thông tin Fiahub ghi nhận, các cuộc tấn công liên quan tới chuẩn Omnichain Fungible Token của LayerZero đang xuất hiện ngày càng nhiều trong năm 2026. LayerZero OFT hoạt động theo cơ chế đốt token ở chain nguồn và mint token ở chain đích. Hệ thống phụ thuộc vào peer configuration giữa các chain để xác minh lệnh mint. Nếu hacker kiểm soát được private key liên quan tới các peer configuration này, hacker có thể thay thế peer hợp lệ bằng peer giả mạo và tự do mint token trên chain đích.
Bài viết cũng nhắc lại rằng vào tháng 4/2026, một lỗ hổng tương tự liên quan tới LayerZero trong vụ hack Kelp DAO đã khiến khoảng 290 triệu USD rsETH bị đánh cắp. Sau vụ việc đó, LayerZero từng thừa nhận có sai sót trong cấu hình verifier của hệ thống.
Điều này đang khiến cộng đồng DeFi ngày càng lo ngại về mức độ an toàn của các hạ tầng omnichain và bridge cross-chain trong giai đoạn thị trường crypto mở rộng đa chain mạnh mẽ.
Curve Finance và Beefy Finance cũng bị ảnh hưởng
Vụ hack của StakeDAO không chỉ dừng ở một giao thức đơn lẻ. Curve Finance đã cảnh báo người dùng đang có vị thế trong thị trường asdCRV LlamaLend trên Arbitrum nên rút tài sản ngay lập tức. Theo Curve, vụ hack của StakeDAO liên quan tới vsdCRV có thể làm mất ổn định price oracle và gây ra các đợt thanh lý ngoài ý muốn trên hệ thống lending.
Trong khi đó, Beefy Finance xác nhận vault Arbitrum Convex CRV/csdCRV/asdCRV của họ cũng bị ảnh hưởng. Giao thức đã tạm dừng vault liên quan và cho biết đang phối hợp với StakeDAO, Curve và Convex để xử lý sự cố.
Sau vụ hack, token SDT của StakeDAO giảm khoảng 6,6% trong vòng 24 giờ, trong khi khối lượng giao dịch tăng hơn 400%.
Vụ hack của StakeDAO phản ánh một vấn đề ngày càng nghiêm trọng của DeFi hiện đại: hệ thống đang trở nên quá phức tạp. Trong giai đoạn đầu, phần lớn vụ hack DeFi đến từ lỗi logic smart contract. Nhưng hiện nay, rủi ro lớn nhất lại nằm ở hạ tầng cross-chain, private key quản trị, peer configuration, oracle và toàn bộ lớp middleware nằm phía trên blockchain. Điều này khiến DeFi ngày càng giống một hệ thống tài chính phân tán nhiều tầng hơn là các smart contract đơn giản như trước.
Mặt tích cực là ngành đang phát triển nhanh hơn và mở rộng đa chain mạnh hơn. Nhưng mặt trái là bề mặt tấn công cũng ngày càng lớn hơn rất nhiều. Nếu các giao thức omnichain tiếp tục trở thành mục tiêu của hacker, bảo mật cross-chain có thể sẽ trở thành vấn đề sống còn của toàn bộ DeFi trong chu kỳ crypto tiếp theo.
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
