English
Sự cố xảy ra vào rạng sáng ngày 20/1, khi một hợp đồng thông minh chưa được xác minh được triển khai nhằm thao túng giá trong pool DUSD/USDC trên Curve. Toàn bộ quá trình khai thác chỉ diễn ra trong khoảng 11 phút, nhưng đã khiến pool này bị rút tổng cộng 1.299 ETH.
Dữ liệu on-chain cho thấy, phần lớn số ETH bị rút đã được chuyển tới một MEV builder, trong khi phần còn lại rơi vào tay một validator thuộc Rocket Pool. Makina xác nhận rằng vụ việc chỉ ảnh hưởng đến phía USDC trong pool DUSD/USDC, còn các pool khác của giao thức như DETH/WETH hay DBIT/WBTC không bị tác động. Ngoài ra, tài sản nằm trong hệ thống DUSD Machine vẫn an toàn và stablecoin DUSD tiếp tục được bảo chứng đầy đủ.
Theo Makina, nguyên nhân gốc rễ của sự cố đến từ một lỗi trong Weiroll script được sử dụng cho DUSD Machine – bộ phận chịu trách nhiệm hạch toán và quản lý tài sản thế chấp. Hacker đã sử dụng flash loan để tạm thời đẩy giá một vị thế trong pool MIM-3CRV trên Curve, khiến hệ thống ghi nhận giá trị tài sản cao hơn thực tế.
Dữ liệu sai lệch này sau đó được chuyển vào oracle định giá của DUSD, dẫn đến việc giá DUSD/USDC trên Curve bị thổi phồng. Lợi dụng thời điểm này, hacker đã rút USDC với tỷ giá bất lợi cho pool trước khi hệ thống kịp điều chỉnh.
Makina cho biết lỗ hổng đã được xác nhận bởi các đơn vị kiểm toán độc lập. Bản vá hiện đang được hoàn thiện và đưa vào quy trình kiểm toán trước khi triển khai chính thức, kèm theo một báo cáo kỹ thuật chi tiết (post-mortem) sẽ được công bố sau đó.
Trong quá trình xử lý sự cố, Makina và đơn vị vận hành DUSD Machine đã theo đuổi nhiều hướng thu hồi tài sản. Đáng chú ý, MEV builder liên quan đã hoàn trả khoảng 920 ETH sau khi nhận mức bounty 10% theo chương trình whitehat, giúp giảm đáng kể thiệt hại ban đầu.
Số ETH đã thu hồi hiện được lưu trữ trong một ví multi-sig chuyên biệt phục vụ cho quá trình hoàn trả. Makina cho biết họ vẫn đang phối hợp với các đơn vị an ninh blockchain để thu hồi 276 ETH còn lại đang nằm tại validator của Rocket Pool. Ngoài ra, các khoản phí LP phát sinh trong thời gian xảy ra sự cố cũng sẽ được hoàn trả cho giao thức.
Jan 22, 2026, 13:15 UTC: Funds held by the MEV builder have been returned net of a 10% bounty awarded under the SEAL Whitehat Safe Harbor. This represents approximately 920 ETH of the 1,023 ETH received by the MEV builder, out of a total exploit amount of roughly 1,299 ETH. This…
— Makina (@makinafi) January 22, 2026
Sau vụ việc, Makina đã đưa toàn bộ hệ thống liên quan vào Recovery Mode, tạm dừng hoạt động redeem và một số chức năng khác để đảm bảo an toàn trong thời gian điều tra và triển khai bản vá. Giao thức dự kiến chỉ quay lại hoạt động bình thường sau khi bản sửa lỗi vượt qua kiểm toán bên ngoài và hoàn tất thời gian timelock bắt buộc.
Đáng chú ý, Makina cũng xác nhận sẽ loại bỏ dần pool DUSD/USDC trên Curve và chuyển sang triển khai pool mới trên Uniswap, nơi DUSD có thể được swap sang USDC với tỷ giá cố định. Người dùng đang nắm giữ LP token trên Curve được khuyến nghị rút về DUSD để tránh ảnh hưởng đến quá trình phân phối tài sản thu hồi sau này.
Đọc thêm:
.jpg)
_thumb_720.jpg)
