Nền tảng tài chính phi tập trung Moonwell đã bị khai thác 1 triệu USD vào ngày 4 tháng 11 năm 2025, phơi bày lỗ hổng nghiêm trọng trong cách các giao thức DeFi dựa vào dữ liệu giá từ bên ngoài. Cuộc tấn công này nhắm vào hoạt động của giao thức cho vay trên các mạng Base và Optimism, làm cạn kiệt quỹ thông qua một cuộc khai thác flash loan tinh vi, thao túng định giá price feed của oracle.
Vụ việc được phát hiện khi công ty bảo mật blockchain BlockSec phát hiện các giao dịch khả nghi nhắm vào các hợp đồng smart của Moonwell. Theo phân tích của họ, những kẻ tấn công đã khai thác một nguồn cấp giá rsETH/ETH không chính xác, báo cáo sai giá của wrapped restaked ETH (wrstETH) ở mức khoảng 5,8 triệu USD mỗi token - một sự định giá quá mức lớn so với giá thị trường thực tế là dưới 3.500 USD cho ETH cơ bản.
Bằng cách sử dụng lỗi định giá này, hacker đã thực hiện chuỗi các cuộc tấn công flash loan cho phép họ vay số lượng lớn tiền mã hóa chỉ với tài sản thế chấp tối thiểu. Công ty bảo mật CertiK báo cáo rằng kẻ tấn công "có thể liên tục vay hơn 20 wstETH chỉ với khoảng 0.02 wrstETH được flash loan và nạp thêm" do sự cố của oracle.
Cuối cùng, cuộc khai thác này đã mang lại cho hacker khoảng 295 ETH, trị giá khoảng 1 triệu USD.
Một mô hình lỗ hổng
Lỗi bảo mật mới nhất này đại diện cho sự cố bảo mật lớn thứ tư của Moonwell trong ba năm gần đây, đặt ra những câu hỏi nghiêm trọng về hạ tầng bảo mật của giao thức. Trước đó, nền tảng này đã mất 1,7 triệu USD vào tháng 10 năm 2025 trong một cuộc khủng hoảng thị trường kích hoạt bởi các thông báo thuế quan, khi các khoảng cách giá oracle-DEX cho phép những kẻ tấn công khai thác cơ chế thanh lý.
Vào tháng 12 năm 2024, Moonwell đã bị tấn công flash loan trị giá 320.000 USD, nhắm mục tiêu đến hợp đồng cho vay USDC của mình, trong đó một hợp đồng độc hại cải trang thành "mToken" đã cấp quyền phê duyệt mã thông báo không được phép. Kẻ tấn công đã dùng Tornado Cash để tài trợ cho ví và nhanh chóng đổi USDC bị đánh cắp sang DAI trước khi chính quyền có thể phản ứng.
Giao thức cũng gặp phải các vấn đề liên quan đến vụ việc của Nomad Bridge vào năm 2022, mặc dù tác động tài chính cụ thể vẫn chưa rõ ràng. Lịch sử đáng lo ngại này đã khiến kiểm toán viên bảo mật QuillAudits lưu ý: "Lại là một ngày khác, lại là một cuộc khai thác mới của Moonwell. Là sự cố lớn thứ 4 trong 3 năm qua."
Tác động thị trường và niềm tin của nhà đầu tư
Cuộc khai thác này đã ngay lập tức gây ra sự chấn động trong hệ sinh thái của Moonwell. Token WELL đã giảm 13,5% chỉ trong một ngày sau khi có tin tức về cuộc tấn công, tồi tệ hơn đáng kể so với sự suy giảm 3,95% của thị trường tiền mã hóa rộng hơn. Tính đến ngày 4 tháng 11, WELL giao dịch ở mức khoảng 0,0155 USD, đại diện cho sự giảm 51% trong tháng qua và kéo dài tổn thất từ mức cao nhất mọi thời đại xuống còn hơn 96%.
Khoảng thời gian này đặc biệt không may cho Moonwell, khi nền tảng này vừa báo cáo khoản doanh thu phí kỷ lục vào tháng 10, phân phối 2,12 triệu USD cho người cho vay và dự trữ trên Base và Optimism. Nền tảng quy kết thành công này là do "tăng nhu cầu vay → lãi suất cao hơn → nhiều doanh thu hơn → nhiều WELL được thu mua trong các cuộc đấu giá dự trữ mỗi tháng." Tuy nhiên, vi phạm bảo mật mới nhất đã lấn át những chỉ số tích cực này và đặt ra lo ngại về sự rút khỏi vốn từ giao thức.
Thêm vào sự lo ngại của nhà đầu tư, Moonwell đã ngừng chương trình bug bounty của mình trên Immunefi vào đầu năm 2025, chỉ vài tháng trước khi các cuộc tấn công lớn này xảy ra. Quyết định này hiện nay có vẻ đáng ngờ khi nhìn vào các thất bại bảo mật sau đó.
Vấn đề của Oracle trong DeFi
Sự kiện của Moonwell làm nổi bật thách thức cơ bản đối với tài chính phi tập trung: sự phụ thuộc vào các nguồn dữ liệu bên ngoài gọi là oracles. Những hệ thống này cung cấp cho hợp đồng thông minh thông tin thực tế như giá tài sản, nhưng chúng giới thiệu các điểm lỗi tiềm năng.
Trong trường hợp này, cuộc khai thác bắt nguồn từ lỗ hổng oracle ngoài chuỗi trong nguồn cấp giá rsETH/ETH, có thể được cung cấp bởi Chainlink. Các nhà phân tích bảo mật lưu ý rằng cấu hình oracle bao gồm "các khoảng thời gian nhịp đập cổ điển và ngưỡng sai lệch rộng", cho phép sự sai lệch giá đáng kể trước khi kích hoạt các cập nhật.
Phương pháp tấn công bản thân cũng rất tinh vi. Sử dụng các khoản vay flash - các khoản vay không có thế chấp cần được hoàn trả trong một giao dịch duy nhất - kẻ tấn công đã thổi phồng giá trị tài sản thế chấp dựa trên dữ liệu oracle bị lỗi. Do giao thức định giá khoản ký gửi nhỏ 0,02 wrstETH ở mức hơn 116.000 USD, kẻ tấn công có thể vay 20 wstETH mỗi giao dịch, làm cạn kiệt quỹ dự trữ của Moonwell thông qua nhiều chiến dịch.
Các nhà phân tích blockchain tin rằng các bot tối đa giá trị khả chi (MEV) có thể đã tham gia trong việc xác định và khai thác lỗ hổng, làm nổi bật cách các hệ thống giao dịch tự động có thể nhanh chóng tận dụng các điểm yếu của giao thức.
Khủng hoảng bảo mật DeFi rộng hơn
Cuộc khai thác Moonwell xảy ra trong bối cảnh một thời kỳ đặc biệt bất ổn đối với tài chính phi tập trung. Chỉ một ngày trước đó, vào ngày 3 tháng 11, Balancer đã bị tấn công trị giá 128 triệu USD ảnh hưởng đến các bể V2 của nó trên nhiều blockchain bao gồm Ethereum, Berachain, Arbitrum, Base, Optimism và Polygon.
Cuộc tấn công Balancer khai thác lỗ hổng kiểm soát truy cập không đúng trong bể "boosted" của giao thức và chức năng "manageUserBalance", mặc dù mã đã trải qua 11 cuộc kiểm toán bảo mật riêng biệt từ năm 2021. Thực tế này cho thấy rằng ngay cả khi đã được kiểm toán kỹ lưỡng cũng không thể đảm bảo an toàn cho giao thức.
Ngoài ra, Berachain, một blockchain Lớp 1 tương thích với Ethereum, đã bị khai thác liên quan đến tổ hợp Ethena/Honey tripool. Quỹ Berachain tạm thời tạm dừng mạng của mình để ngăn chặn thiệt hại thêm, với Giám đốc Smokey The Bera giải thích: "Khi khoảng 12 triệu USD của người dùng đang gặp nguy hiểm... chúng tôi đã cố gắng phối hợp với tập hợp các nhà phát validator để bảo vệ những người dùng đó."
Cùng nhau, ba sự kiện này vào đầu tháng 11 năm 2025 đã xóa sổ ít nhất 222 triệu USD từ các giao thức DeFi, theo The Block, phơi bày bản chất kết nối sâu sắc của hệ thống thanh khoản và tài sản thế chấp xuyên suốt các mạng blockchain.
Suy nghĩ cuối cùng
Mặc dù dữ liệu PeckShield cho thấy thiệt hại từ các vụ hack DeFi đã giảm 85,7% vào tháng 10 xuống còn 18,18 triệu USD qua 15 sự cố - giảm từ hơn 127 triệu USD vào tháng 9 - các cuộc tấn công vào tháng 11 chứng minh rằng lỗ hổng đáng kể vẫn tồn tại. Lạm dụng oracle và khai thác flash loan vẫn là trong số các vector tấn công hiệu quả nhất chống lại các giao thức DeFi.
Các chuyên gia trong ngành cho rằng những sự kiện này có khả năng thúc đẩy các lời kêu gọi gia tăng yêu cầu xác thực oracle nghiêm ngặt hơn và hệ thống xác minh giá từ nhiều nguồn. Các giao thức DeFi có thể cần triển khai các kiểm tra giá sanhinderung tốt hơn, các khoảng thời gian nhịp đập nhanh hơn cho các cập nhật oracle và các bộ ngắt mạch tạm ngừng hoạt động khi phát hiện sự biến động giá không thường.
Đối với Moonwell, con đường khôi phục niềm tin dường như đầy thách thức. Với tổng giá trị bị khóa giảm từ gần 400 triệu USD xuống còn khoảng 234 triệu USD trước cuộc tấn công gần nhất, và dự kiến giảm sâu hơn, giao thức phải chịu áp lực thực hiện các nâng cấp bảo mật toàn diện và có khả năng bồi thường cho các người dùng bị ảnh hưởng.
Những cuộc khai thác vào tháng 11 năm 2025 là một lời nhắc nhở rõ ràng rằng bất chấp nhiều năm phát triển và hàng tỷ USD bị khóa trong các giao thức DeFi, lĩnh vực này vẫn rất dễ bị tấn công tinh vi. Khi việc áp dụng tăng và ngày càng có nhiều dòng vốn đầu tư vào tài chính phi tập trung, yêu cầu cho các biện pháp bảo mật mạnh mẽ hơn, hệ thống oracle tốt hơn, và quản lý rủi ro toàn diện hơn chưa bao giờ cấp bách hơn.