Giao thức lending Resupply vừa bị hack gần 10 triệu USD do lỗ hổng tính tỷ giá tài sản thế chấp trong vault rỗng để vay reUSD mà không cần tài sản thật.
Giao thức Resupply bị hacker thao túng tỷ giá, thiệt hại hơn 9,6 triệu USD
Vào ngày 26/06, cộng đồng DeFi tiếp tục xôn xao khi giao thức lending Resupply (trước đây là Prisma Finance) đã trở thành nạn nhân khi bị hacker “sờ gáy”, gây thiệt hại khoảng 9,6 triệu USD, chỉ trong vài phút.
Nguyên nhân ban đầu được các chuyên gia on-chain xác định là bắt nguồn từ một lỗ hổng thiết kế trong cách hệ thống tính tỷ giá tài sản thế chấp, đặc biệt là trong một vault rỗng nơi không có người dùng nào gửi tiền trước đó.
Cụ thể, hacker đã nhắm vào một vault có tên cvcrvUSD, vốn hoàn toàn không có thanh khoản. Lợi dụng việc vault này rỗng, kẻ tấn công chỉ cần gửi vào khoảng 2 crvUSD và nhận về 1 đơn vị cổ phần (share).
Sau đó, hắn donate thêm 2.000 crvUSD vào vault nhưng không nhận thêm cổ phần nào. Do vault này trước đó hoàn toàn trống rỗng, không có dữ liệu hoặc tỷ lệ cổ phần nào để làm chuẩn, nên hệ thống đã hiểu nhầm rằng 1 cổ phần duy nhất hiện đang nắm giữ toàn bộ giá trị là 2.002 crvUSD (tổng của 2 USD gửi ban đầu và 2.000 USD donate thêm). Trên thực tế, giá trị thật của cổ phần này chỉ đáng vài USD, nhưng hệ thống lại tin rằng nó cực kỳ đắt giá.
Chưa hết, vấn đề càng trở nên hơn khi hệ thống Resupply lại dùng phép chia làm tròn xuống (floor division) để tính tỷ lệ thế chấp. Khi lấy tổng giá trị tài sản chia cho số cổ phần, con số quá lớn khiến kết quả bị làm tròn xuống thành 0. Tức là giá trị cổ phần trên sổ sách trở thành 0, điều hoàn toàn phi lý.
Nói cách khác, giống như bạn đi vay tiền mua nhà, ngân hàng định giá căn nhà của bạn là 0 đồng do lỗi tính toán, nhưng vẫn cho bạn vay hàng chục tỷ vì không kiểm tra kỹ. Đó chính là chuyện đã xảy ra với hệ thống Resupply.
Lợi dụng lỗ hổng này, hacker dùng chỉ 1 cổ phần “ảo” để làm tài sản thế chấp và vẫn được vay tới 10 triệu reUSD, vì hệ thống không thể phát hiện bất thường và bỏ qua kiểm tra an toàn (LTV check).
Sau khi rút tiền thành công, hacker đã rửa số ETH nhận được thông qua “máy trộn” Tornado Cash,. Theo biểu đồ, dòng tiền được phân phối qua nhiều địa chỉ trung gian, một số swap token qua CowSwap, trước khi rút về ví cá nhân.
Ngay sau khi phát hiện, Resupply đã đưa ra thông báo chính thức, giao thức cho biết:
Mặc dù vậy, một số nhà đầu tư đã lên tiếng chỉ trích cách dự án xử lý khủng hoảng. Một người dùng đã tuyên bố mạnh mẽ:
Phát ngôn này phản ánh sự thất vọng sâu sắc từ cộng đồng khi một số người dùng cảm thấy bị phớt lờ sau khi dự án Resupply thiết lập chế độ “timeout” trên Discord, cấm gửi tin nhắn lên tới hơn 6 tiếng. Nhiều ý kiến cho rằng thay vì minh bạch trao đổi và đối thoại với những nhà đầu tư đã đồng hành bằng vốn thật, đội ngũ dự án lại chọn cách im lặng và khóa quyền phát ngôn của các thành viên lên tiếng chỉ trích.
Diễn biến này làm dấy lên nghi ngại về năng lực xử lý khủng hoảng của Resupply, đặc biệt trong bối cảnh dự án vừa chịu thiệt hại gần 10 triệu USD. Nếu không có động thái rõ ràng và phản hồi thỏa đáng, uy tín của giao thức có thể bị ảnh hưởng nghiêm trọng trong mắt cộng đồng và các nhà đầu tư lâu dài.
Resupply là một giao thức stablecoin phi tập trung, được triển khai như một “subDAO” tích hợp trong hệ sinh thái Convex Finance và Yearn. Người dùng có thể nạp stablecoin sinh lợi như crvUSD hoặc frxUSD vào nền tảng Curve Lend hoặc Fraxlend, sau đó vay ra đồng reUSD, sablecoin được neo giá bằng USD.
Tại thời điểm viết bài, TVL của Resupply đã lao dốc mạnh, từ 135 triệu USD xuống chỉ còn khoảng 89,63 triệu USD.
Thống kê TVL của Resupply. Nguồn: DefiLlama (Ngày 26/06/2025)
Song song đó, giá token RSUP cũng không tránh khỏi ảnh hưởng tiêu cực, giảm từ 1,54 USD xuống còn 1,34 USD, ghi nhận mức sụt giảm 15,8% trong 24 giờ qua.
Biến động giá RSUP trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 04:25 chiều ngày 26/06/2025
Tuy nhiên, đây không phải là lần đầu tiên Resupply trở thành nạn nhân của một vụ tấn công. Trước khi đổi tên, dự án từng hoạt động dưới tên Prisma Finance, một giao thức cho vay phi tập trung cho phép người dùng thế chấp Liquid Staking Tokens (LSTs) để mint và vay stablecoin mkUSD.
Vào tháng 03/2024, Prisma Finance bị hacker tấn công với thiệt hại lên đến 9 triệu USD. Sau sự cố này, dự án quyết định đổi tên thành Resupply nhằm làm mới hình ảnh và khôi phục niềm tin cộng đồng. Thế nhưng trớ trêu thay, chỉ sau hơn một năm, cái tên mới vẫn không giúp dự án tránh khỏi một vụ tấn công nghiêm trọng khác. Đáng chú ý, “thám tử” on-chain nổi tiếng ZachXBT từng nghi vấn rằng kẻ đứng sau vụ hack năm 2024 có thể là người Việt Nam.
Coin68 tổng hợp
