How can attackers drain so much money so quickly with flash loans?

Flash loans allow borrowing with no collateral because repayment is guaranteed at the smart contract level—either the loan is repaid within the same transaction or the entire transaction is canceled. Attackers exploit this by using billions of dollars in borrowed capital to manipulate prices or drain liquidity pools within a single blockchain block, which takes only seconds. They then repay the principal plus a small fee, keeping the extracted profit without ever having risked their own capital.

Can flash loan attacks happen to me if I'm just holding tokens in a wallet?

If you're simply holding tokens in your personal wallet and not participating in DeFi protocols, flash loan attacks cannot directly target you. However, if you've deposited funds into a lending protocol, liquidity pool, or yield farm, an exploit of that protocol can drain your deposited assets even if your wallet itself is secure. Your risk is directly tied to the security of the DeFi protocol holding your funds.

Why haven't developers fixed flash loan vulnerabilities after so many attacks?

Flash loans themselves aren't inherently dangerous—they're a feature of DeFi that enables legitimate use cases like arbitrage and liquidations. The vulnerability lies in how protocols handle price data and validate transactions. Many developers struggle to implement truly flash loan-resistant oracle systems, and newer protocols often don't account for this attack vector. Some protocols intentionally accept flash loan risk in exchange for other features, betting that insurance or governance can compensate users if an attack occurs.

If attackers have to repay the flash loan, how do they profit?

Attackers profit by extracting more value from the protocol than they pay in fees. For example, they might use $100 million in flash loans to drain a $50 million liquidity pool (keeping $49 million after fees), or trigger liquidations that earn them millions in liquidation bonuses. The attack profit comes from the vulnerable protocol, not from failure to repay the flash loan. The repayment is automatic and guaranteed by smart contract code.

How do I know if my DeFi protocol is vulnerable to flash loan attacks?

Check if the protocol publishes security audits from reputable firms that specifically address flash loan resistance and oracle manipulation. Look for protocols that use multiple independent price oracle sources, have circuit breakers to prevent extreme price movements, and have time-delays on sensitive operations. If a protocol's security audit doesn't mention flash loan testing or oracle security, that's a red flag. Also check community forums and security tracking websites for any known exploits or vulnerabilities reported against the protocol.

Nghiêm trọng Thiệt hại trung bình: $500,000 Thời gian thường thấy: 1 day

Lợi Dụng Flash Loan: Cách Các Cuộc Tấn Công DeFi Rút Hết Hàng Triệu Đô

Lợi dụng flash loan là một trong những phương thức tấn công tinh vi nhất trong tài chính phi tập trung, cho phép tội phạm mạng rút hàng triệu đô la chỉ trong một giao dịch duy nhất. Flash loan là một tính năng của hợp đồng thông minh cho phép người dùng vay không giới hạn tiền mã hóa mà không cần tài sản thế chấp, với điều kiện số tiền vay cộng phí phải được hoàn trả trong cùng một khối giao dịch trên blockchain. Khác với các khoản vay truyền thống, flash loan được thực hiện và thanh toán trong vài giây, tạo ra một khoảng thời gian rất ngắn để kẻ tấn công thao túng giá token, khai thác điểm yếu của oracle giá, hoặc rút cạn các pool thanh khoản trước khi khoản vay phải được hoàn trả. Từ năm 2020 đến 2024, các vụ lợi dụng flash loan đã gây thiệt hại ước tính hơn 1,2 tỷ đô la trên các giao thức DeFi, với các cuộc tấn công riêng lẻ từ 500.000 đô la đến hơn 100 triệu đô la. Nạn nhân không chỉ là các nhà giao dịch chuyên nghiệp—nhà đầu tư cá nhân cũng mất tiền khi các giao thức bị khai thác sụp đổ, các pool thanh khoản bị rút cạn, hoặc tài sản ký gửi bị ảnh hưởng trong cuộc tấn công. Mức độ tinh vi của các cuộc tấn công này đã phát triển đáng kể, khi kẻ tấn công sử dụng nhiều flash loan đồng thời, kết hợp tấn công qua nhiều giao thức và áp dụng logic hợp đồng thông minh phức tạp để che giấu đường đi của việc khai thác.

Thủ đoạn phổ biến Cách nhận biết Cách tự bảo vệ Ví dụ thực tế Câu hỏi thường gặp Nơi báo cáo

Thủ đoạn phổ biến

• Khai thác điểm yếu của oracle giá bằng cách thao túng giá token trên các sàn giao dịch phi tập trung, sau đó sử dụng flash loan để khuếch đại hiệu ứng. Kẻ tấn công vay hàng triệu đô la để điều chỉnh thị trường, kích hoạt thanh lý trong các giao thức cho vay dựa trên dữ liệu giá bị thao túng.
• Thực hiện tấn công tái nhập (reentrancy) khi sử dụng tiền flash loan để gọi liên tục một hàm hợp đồng thông minh dễ bị tổn thương trước khi nó cập nhật trạng thái nội bộ. Điều này cho phép kẻ tấn công rút tiền nhiều lần trong cùng một giao dịch.
• Thực hiện tấn công chênh lệch giá (arbitrage) khai thác sự khác biệt giá giữa các giao thức. Kẻ tấn công dùng flash loan để mua tài sản giá thấp trên một giao thức và bán với giá cao hơn trên giao thức khác, thu lợi nhuận từ chênh lệch giá.
• Nhắm vào thao túng tài sản thế chấp trong các giao thức cho vay bằng cách dùng flash loan để tạm thời tăng hoặc giảm giá trị tài sản thế chấp, kích hoạt các đợt thanh lý dây chuyền khiến người vay hợp pháp bị thanh lý với giá bất lợi.
• Rút cạn các pool thanh khoản bằng cách dùng vốn vay flash để hoán đổi token theo cách loại bỏ toàn bộ thanh khoản có sẵn, thu phí giao dịch và trượt giá trong quá trình trước khi trả lại vốn gốc.
• Kết hợp nhiều flash loan trên các giao thức khác nhau để thực hiện các cuộc tấn công phức tạp nhiều bước. Kẻ tấn công đồng thời vay từ Aave, dYdX và các nhà cho vay khác, phối hợp các cuộc tấn công không thể thực hiện được nếu chỉ vay trên một giao thức.

Cách nhận biết

Sụp đổ đột ngột, không giải thích được hoặc biến động giá mạnh trong vài phút trên một token hoặc giao thức DeFi cụ thể, thường kèm theo phục hồi nhanh. Các vụ lợi dụng flash loan thường tạo ra biến động giá sắc nét, ngắn hạn khác biệt với dao động thị trường bình thường.
Thông báo tạm dừng khẩn cấp hoặc nâng cấp hợp đồng thông minh ngay sau khi xảy ra thiệt hại tài chính. Nếu một giao thức đột ngột khóa chức năng gửi, rút hoặc giao dịch sau khi mất tiền, rất có thể đã bị tấn công flash loan.
Tài sản thế chấp của bạn bị thanh lý bất ngờ trong giao thức cho vay dù giá thị trường không biến động đáng kể. Các cuộc tấn công flash loan thường thao túng oracle giá để kích hoạt thanh lý không công bằng các vị thế hợp pháp.
Rút tiền ồ ạt khỏi các pool thanh khoản của giao thức trong cùng một khối hoặc giao dịch, kèm theo sự bất ổn hệ thống. Mô hình này cho thấy kẻ tấn công đã rút cạn pool bằng vốn vay.
Phân tích giao dịch cho thấy nhiều flash loan được gọi trong cùng một khối, kèm theo các chuyển động token bất thường và thao túng giá trên nhiều giao thức. Mô hình chuỗi này đặc trưng cho các cuộc tấn công phối hợp.
Phần thưởng yield farming hoặc tiền gửi của bạn giảm bất thường sau sự cố giao thức, không có giao dịch tương ứng trong lịch sử ví. Kẻ tấn công có thể đã đánh cắp tiền theo cách vượt qua hệ thống theo dõi giao dịch thông thường.

Cách tự bảo vệ

Xác minh rằng bất kỳ giao thức DeFi nào bạn sử dụng đều có nhiều nguồn oracle giá độc lập (Chainlink, Uniswap TWAP, nhiều sàn giao dịch) thay vì chỉ dựa vào nguồn giá đơn lẻ. Các giao thức chỉ dùng giá trên sàn on-chain rất dễ bị thao túng.
Kiểm tra báo cáo kiểm toán và lịch sử bảo mật của giao thức trước khi gửi tiền, đặc biệt chú ý các vấn đề liên quan đến lỗ hổng flash loan hoặc thao túng oracle. Chỉ sử dụng các giao thức được kiểm toán bởi các công ty uy tín như OpenZeppelin, Trail of Bits hoặc ConsenSys Diligence.
Giới hạn số tiền bạn đầu tư vào một giao thức DeFi để chỉ là khoản bạn có thể chấp nhận mất hoàn toàn. Đa dạng hóa đầu tư qua nhiều giao thức với mô hình bảo mật khác nhau thay vì tập trung tài sản vào một nền tảng.
Tránh các giao thức có sự cố bảo mật gần đây, tạm dừng khẩn cấp hoặc tranh cãi quản trị liên quan đến khai thác, dù họ có tuyên bố đã khắc phục. Niềm tin vào bảo mật DeFi rất khó xây dựng lại sau các sự cố lớn.
Theo dõi vị thế của bạn theo thời gian thực trong các giai đoạn biến động cao, và thiết lập cảnh báo rủi ro thanh lý đột ngột hoặc biến động giá bất thường. Sẵn sàng rút tiền nhanh nếu giao thức có dấu hiệu bị tấn công hoặc mất ổn định.
Tự trang bị kiến thức về cách oracle giá của giao thức bạn dùng hoạt động, các nguồn dữ liệu bên ngoài mà nó phụ thuộc, và liệu nó có được xác minh chính thức hoặc có bằng chứng toán học về bảo mật hay không. Hiểu rõ những chi tiết này giúp bạn nhận diện giao thức kháng flash loan.

Ví dụ thực tế

Vào tháng 2 năm 2023, kẻ tấn công lợi dụng giao thức cho vay bKash bằng một cuộc tấn công flash loan phối hợp trên nhiều giao thức DeFi. Họ vay 100 triệu đô la flash loan, dùng số tiền này để đẩy giá token bKash lên cao giả tạo, kích hoạt thanh lý trong hệ thống tài sản thế chấp của giao thức. Khi giao dịch kết thúc, họ thu về khoảng 2,3 triệu đô la lợi nhuận trong khi người dùng hợp pháp bị thanh lý tài sản thế chấp với giá bất lợi trong thời gian thao túng giá.

Một nhà phát triển gửi 1,5 triệu đô la USDC vào một giao thức yield farming hứa hẹn lợi suất 45% mỗi năm. Chỉ trong vài giờ sau khi giao thức ra mắt, kẻ tấn công thực hiện một vụ lợi dụng flash loan thao túng oracle giá nội bộ của giao thức bằng cách giao dịch lượng lớn token farm. Cuộc tấn công rút cạn pool thanh khoản, làm giảm gần như toàn bộ số tiền gửi của người dùng về gần 0, và giao thức ngừng hoạt động. Nhà phát triển chỉ thu hồi được dưới 15.000 đô la qua các biện pháp pháp lý chống lại kho bạc của giao thức.

Một nhà giao dịch arbitrage phát hiện chênh lệch giá khoảng 2% có lợi cho một token giữa hai sàn. Họ dùng flash loan vay 5 triệu đô la để thực hiện giao dịch, nhưng vụ khai thác xảy ra trong cùng khối giao dịch. Giao dịch của kẻ tấn công chạy trước, thao túng giá khiến arbitrage thua lỗ, và nhà giao dịch bị âm khi trừ phí giao dịch và trượt giá từ số vốn vay.

Câu hỏi thường gặp

Làm thế nào kẻ tấn công có thể rút được nhiều tiền nhanh đến vậy với flash loan?

Flash loan cho phép vay không cần tài sản thế chấp vì việc hoàn trả được đảm bảo ở cấp độ hợp đồng thông minh—hoặc khoản vay được trả trong cùng một giao dịch, hoặc toàn bộ giao dịch bị hủy bỏ. Kẻ tấn công lợi dụng điều này bằng cách sử dụng hàng tỷ đô la vốn vay để thao túng giá hoặc rút cạn pool thanh khoản trong một khối blockchain duy nhất, chỉ mất vài giây. Sau đó họ trả lại vốn gốc cộng một khoản phí nhỏ, giữ lại lợi nhuận thu được mà không phải mạo hiểm vốn của chính mình.

Nơi báo cáo — Việt Nam

Các kênh chính thức trong khu vực của bạn để báo cáo lừa đảo này.

Cục An toàn thông tin (Bộ TT&TT)

Tội phạm mạng

Cổng tiếp nhận phản ánh tin nhắn rác, cuộc gọi rác và lừa đảo trực tuyến.

Truy cập →

Bộ Công an - Cảnh báo lừa đảo

Báo cáo

Trang cảnh báo và tiếp nhận tố giác lừa đảo của Bộ Công an.

113 Truy cập →

Cục Cạnh tranh và Bảo vệ người tiêu dùng

Bảo vệ người tiêu dùng

Tổng đài bảo vệ người tiêu dùng — miễn phí cuộc gọi.

1800-6838 Truy cập →

Ngân hàng Nhà nước Việt Nam

Cơ quan tài chính

Báo cáo các trường hợp lừa đảo tài chính, ngân hàng, đầu tư bất hợp pháp.

Truy cập →

Nghi ngờ gặp phải lừa đảo này?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), lợi dụng flash loan: cách các cuộc tấn công defi rút hết hàng triệu đô is described at https://scamlens.org/vi/encyclopedia/flash-loan-exploit.

https://scamlens.org/vi/encyclopedia/flash-loan-exploit

Bắt đầu từ đây

Kiểm Tra An Toàn

Tình Báo

Công Cụ & Báo Cáo

Dịch Vụ Cao Cấp

Tiện Ích & API