Makina Finance Bị Flash Loan Tấn Công, Thua Hơn 4 Triệu USD
Makina Finance, nền tảng DeFi trên Ethereum, mất hơn 1,299 ETH (~4 triệu USD, ≈100 tỷ VND) do vụ tấn công flash loan. Tìm hiểu nguyên nhân, cách hacker tha
TL;DR
- Makina Finance (Ethereum DeFi) mất 1,299 ETH ≈ 4 triệu USD (≈100 tỷ VND) do một vụ flash‑loan exploit.
- Hacker vay 280 triệu USDC dưới dạng flash loan, thao túng Oracle của pool DUSD‑DUSDC trên Curve, sau đó rút hơn 1,000 ETH.
- Giao dịch rút tiền bị MEV builder frontrun, chiếm phần lớn số vốn bị đánh cắp, nên có khả năng thu hồi được.
- DeFi năm 2026 tổng thể giảm thiệt hại, nhưng các pool có Oracle yếu vẫn là "điểm yếu" cho các nhà đầu tư Việt.
Phân tích chi tiết (bản địa hoá)
1. Sự kiện diễn ra như thế nào?
- Makina Finance – một nền tảng cho vay và cung cấp thanh khoản dựa trên Ethereum, chạy các smart vault gọi là “Machines”.
- Vào tháng 1/2026, một tác nhân (có thể là một nhóm hacker hay một bot MEV) đã đánh flash loan lên 280 trịệu USDC (≈7 nghìn tỷ VND).
- Số tiền này sau đó được dùng 170 trịệu USDC để thao túng MachineShareOracle, công cụ tính giá cho pool DUSD‑DUSDC trên Curve.
- Khi giá bị “pump” giả, hacker thực hiện giao dịch 110 trịệu USDC mua DUSD, rồi rút hơn 1,000 ETH (≈30 tỷ VND) khỏi pool.
- Giao dịch rút tiền bị frontrun bởi một MEG builder – một người khai thác MEV – nên phần lớn ETH bị chuyển vào ví của họ, chứ không phải hacker gốc.
"Basically, the root cause of the bug is a classic price manipulation issue" – nói bởi PeckShield.
2. Tại sao flash loan lại “độc chiếm” được thị trường DeFi?
- Flash loan cho phép vay không cần ký quỹ trong một giao dịch duy nhất; nếu giao dịch không trả lại, toàn bộ giao dịch sẽ bị revert.
- Điều này tạo ra đòn bẩy cực mạnh, giúp hacker thao túng oracle hay price feed chỉ trong giây lát.
- Năm 2026, theo Chainalysis, tổng thiệt hại DeFi giảm (do audit, bug bounty, và các giải pháp oracle resilient), nhưng các pool chưa cập nhật TWAP hay voting‑based oracle vẫn là “cánh cửa mở” cho flash‑loan.
3. Ảnh hưởng tới nhà đầu tư Việt Nam
- Những nhà đầu tư VN thường tham gia vào các pool USDC/USDT qua các sàn trung gian (Binance, MEXC) và yield farming trên các dự án như Makina.
- Khi pool bị tấn công, liquidity providers (LP) mất share và fee tích lũy, dẫn đến lũy kế lỗ – đặc biệt khi VND đang trong giai đoạn đánh giá mạnh.
- Nếu LP chưa rút vốn kịp thời, họ sẽ cháy tài khoản trong vòng vài phút, vì ETH bị rút ra và không còn ở pool.
- Các nhà đầu tư nên hold cẩn thận, đánh giá lại mức độ rủi ro của pool có oracle yếu trước khi pump vào.
4. Các biện pháp bảo vệ (checklist cho nhà đầu tư VN)
| ✅ | Hành động | Mô tả |
|---|---|---|
| 1 | Kiểm tra oracle của pool | Đảm bảo pool dùng TWAP hoặc Chainlink thay vì price feed nội bộ. |
| 2 | Giới hạn exposure | Không để hơn 5‑10% tổng tài sản trong một pool duy nhất. |
| 3 | Theo dõi MEV activity | Các công cụ như Etherscan hoặc Blocknative có thể cảnh báo giao dịch frontrun. |
| 4 | Sử dụng insurance | Một số protocol (Nexus Mutual, Armor) cung cấp bảo hiểm cho flash‑loan loss. |
| 5 | Thực hiện smart‑wallet alerts | Cài đặt cảnh báo khi có giao dịch lớn (> $1M) trên pool bạn đang cung cấp thanh khoản. |
5. So sánh với các vụ tấn công flash‑loan nổi bật 2026‑2026
| Năm | Dự án | Số tiền mất | Cách tấn công | Kết quả |
|---|---|---|---|---|
| 2026 | Bunni (DEX) | $8.4M | Flash loan + oracle manipulation | DEX đóng cửa, người dùng mất phí. |
| 2026 | Shibarium (L2) | $2.4M | Flash loan + re‑entrancy | Mạng tạm dừng, đã khắc phục. |
| 2026 | Makina Finance | $4M (≈100T VND) | Flash loan + price oracle abuse + MEV frontrun | Phần lớn ETH đi vào ví MEV, Makina kích hoạt security mode. |
Thực tế thì, DeFi vẫn “đều” có rủi ro, nhưng việc kiểm soát oracle và giám sát MEV là chìa khóa giảm thiệt hại.
FAQ
Q1: Flash loan có phải là “cú lừa” luôn không?
- A: Không, flash loan là công cụ hợp pháp, được dùng để arbitrage hoặc liquidity provision. Rủi ro đến từ oracle yếu và cơ chế bảo mật thiếu.
Q2: Tôi có thể thu hồi phần ETH bị mất trong vụ Makina không?
- A: Nếu MEV builder đồng ý trả lại hoặc bị truy vết qua pháp lý, có khả năng thu hồi. Hiện Makina chưa xác định danh tính builder, nhưng PeckShield cho rằng cơ hội recover cao hơn so với các vụ hack truyền thống.
Q3: Các nhà đầu tư Việt nên làm gì ngay khi biết pool bị tấn công?
- A: Rút ngay liquidity còn lại, chuyển sang stablecoin an toàn, và theo dõi cảnh báo từ các dự án bảo hiểm DeFi. Đồng thời, cập nhật portfolio risk và tránh pump‑and‑dump không kiểm chứng.
Liên kết liên quan
- BitMine mua thêm 108 triệu USD ETH, nhưng BMNR sụt 7% trong bão thương mại Trump
- Bitcoin tụt mạnh dưới 90K – Strategy chi 49,3 nghìn tỷ mua BTC
- Crypto tụt mạnh do tranh chấp thuế Trump, BTC dưới 90K, Trove sụp 90%
Kết luận: Makina Finance đã cho thấy lỗ hổng trong thiết kế oracle vẫn là “cá sâu” cho hacker. Đối với ae Việt, việc đánh giá rủi ro và giữ liquidity ở mức vừa phải là cách duy nhất để tránh “cháy tài khoản” khi thị trường DeFi bùng nổ hay “moon”.
