- THENA, sàn DEX hàng đầu trên BNB Chain, vừa công bố không bị ảnh hưởng bởi sự cố bảo mật Vercel April 2026 nhưng vẫn chủ động xoay credentials như biện pháp phòng ngừa.
- Người dùng có thể tiếp tục giao dịch bình thường.
TL;DR
THENA, DEX cộng đồng lớn nhất trên BNB Chain, vừa ra thông báo ngắn trên X ngày 20/04/2026: Vercel đã xác nhận THENA không bị ảnh hưởng bởi sự cố bảo mật Vercel April 2026, không phát hiện bất kỳ hoạt động bất thường nào, và dù vậy đội ngũ vẫn chủ động xoay toàn bộ credentials liên quan như biện pháp phòng ngừa. Người dùng có thể tiếp tục giao dịch trên thena.fi như bình thường — không cần bất kỳ hành động nào.
Có gì mới
Tweet gốc từ tài khoản chính thức @ThenaFi gồm đúng 3 điểm:
- Vercel đã xác nhận THENA không nằm trong danh sách khách hàng bị ảnh hưởng.
- Nội bộ THENA không quan sát thấy hoạt động bất thường nào trên hạ tầng của họ.
- Dù hai điều trên đã đủ “an toàn”, đội ngũ vẫn xoay các credentials liên quan như “extra precaution”.
Thông báo này đặt THENA vào nhóm các giao thức DeFi phản ứng nhanh và minh bạch nhất sau khi Vercel công bố sự cố bảo mật cuối tuần qua.
Vì sao quan trọng
Vercel là nền tảng hosting phổ biến bậc nhất cho frontend Next.js — rất nhiều dApp, DEX, bridge, launchpad DeFi đang chạy dashboard giao dịch trực tiếp trên đó. Một chuỗi tấn công supply-chain vào Vercel có thể cho kẻ xấu bơm mã Next.js độc hại vào frontend của dApp, khiến người dùng ký giao dịch chuyển token thẳng sang ví attacker — một hình thức “drainer” cực nguy hiểm.
Với bối cảnh đó, việc THENA công bố sớm và rõ ràng giúp hàng chục nghìn user BNB Chain yên tâm tiếp tục sử dụng giao thức mà không phải ngồi đoán xem frontend thena.fi có bị “nhiễm” hay không.
Chi tiết kỹ thuật về sự cố Vercel
Sự cố Vercel April 2026 được Vercel công bố chính thức ngày 19/04/2026 (lúc 11:04 AM PST) trong bulletin tại Vercel Knowledge Base. Các con số quan trọng:
| Thông số | Giá trị |
|---|---|
| Ngày công bố | 19/04/2026 — 11:04 AM PST |
| Nguồn gốc tấn công | Context.ai (AI tool bên thứ 3) |
| Đường vào | Google Workspace OAuth của 1 nhân viên Vercel |
| Dữ liệu bị lộ | Env vars KHÔNG được đánh dấu “sensitive” |
| Mẫu dữ liệu rò rỉ | 580 hồ sơ nhân viên Vercel (tên, email, timestamps) |
| Yêu cầu tống tiền | 2 triệu USD (danh nghĩa ShinyHunters) |
| Đội điều tra | Mandiant (Google) + cơ quan hành pháp |
Đáng chú ý, CEO Vercel Guillermo Rauch khẳng định: “Vercel stores all customer environment variables fully encrypted at rest.” Nghĩa là các biến môi trường được đánh dấu sensitive vẫn được mã hóa nên attacker không đọc được — chỉ biến KHÔNG đánh dấu mới có nguy cơ bị lộ. Kẻ đòi tiền chuộc tự xưng là ShinyHunters nhưng các thành viên thực sự của nhóm này đã phủ nhận liên quan khi được BleepingComputer liên hệ.
So sánh phản ứng của các DeFi khác
Không chỉ THENA, nhiều giao thức DeFi đã ra thông báo tương tự trong vòng 24 giờ:
| Giao thức | Mạng chính | Phản ứng |
|---|---|---|
| THENA | BNB Chain | Không bị ảnh hưởng, vẫn xoay credentials |
| Meteora | Solana | Acknowledged, xoay env keys, review logs |
| Orca | Solana | Ra statement, xoay credentials phòng ngừa |
Điểm chung: tất cả đều áp dụng nguyên tắc “trust but verify” — ngay cả khi Vercel nói không bị ảnh hưởng, các team vẫn chủ động xoay key vì cái giá của một frontend bị poison có thể lên tới hàng triệu USD tiền người dùng.
Người dùng cần làm gì?
- User THENA: Không cần làm gì. Tiếp tục swap, cung cấp thanh khoản, vote veTHE, giao dịch perps như bình thường trên thena.fi.
- Team dev dùng Vercel: Audit tất cả env vars KHÔNG được đánh dấu sensitive, rotate ngay bất kỳ secret nào từng lưu ở đó (API keys, DB creds, signing keys), và bật tính năng sensitive-variable protection cho toàn bộ project.
- User DeFi nói chung: Luôn double-check địa chỉ đích trước khi ký transaction, cân nhắc dùng hardware wallet với simulation (Rabby, Frame, Safe) để phát hiện bất thường trước khi ký.
Hạn chế & chi phí
Thông báo của THENA dựa trên trạng thái điều tra hiện tại của Vercel. Nếu có bằng chứng mới xuất hiện trong quá trình điều tra của Mandiant, cả THENA và các giao thức khác có thể phải cập nhật tình trạng. Tuy nhiên, do THENA đã chủ động xoay credentials, ngay cả trong kịch bản xấu nhất — bất kỳ khóa cũ nào rơi vào tay attacker đều đã vô hiệu.
Không có chi phí phát sinh cho người dùng THENA. Toàn bộ chi phí xoay credentials và ứng phó sự cố do đội ngũ THENA chịu.
Điều gì tiếp theo
Vercel sẽ tiếp tục điều tra cùng Mandiant và dự kiến ra post-mortem chi tiết trong vài tuần tới. Cộng đồng DeFi đang theo dõi sát những dự án chưa ra thông báo chính thức — đó có thể là chỉ báo sớm về phản ứng chậm hoặc bề mặt tấn công lớn hơn dự kiến. Về phía THENA, nhóm đã thể hiện đúng tinh thần transparency: thông báo ngắn, đủ 3 điểm, không PR rườm rà — một chuẩn mực tốt cho cách giao thức DeFi nên giao tiếp với user trong khủng hoảng bảo mật.
Nguồn: THENA trên X, Vercel KB Bulletin, BleepingComputer, Protos.
