Scallop, một nền tảng cho vay trên Sui Network, vừa bị mất khoảng 150,000 SUI vào Chủ nhật sau khi một kẻ tấn công đã rút toàn bộ tiền từ hợp đồng trả thưởng cũ của giao thức sSUI spool.
Đội ngũ Scallop đã nhanh chóng đóng băng hợp đồng bị tấn công chỉ sau vài phút và cam kết sẽ hoàn trả toàn bộ thiệt hại bằng nguồn quỹ dự phòng. Các hoạt động chính được khôi phục lại trong chưa đầy hai giờ.
Vụ tấn công vào Sui lại tiếp tục nhắm vào mã phụ, không phải giao thức chính
Scallop đã thông báo về vụ việc này lúc 12:50 UTC, ngày 26/04/2024 thông qua một thông báo công khai trên X. Kẻ tấn công đã nhắm đến một hợp đồng phụ chuyên trả thưởng cho sSUI spool – lớp khuyến khích dành cho người gửi SUI trên giao thức.
Hợp đồng bị ảnh hưởng được đóng băng ngay lập tức, theo thông báo từ đội ngũ Scallop. Các pool cho vay và đi vay chính vẫn an toàn, các khoản tiền gửi của người dùng ở các thị trường khác trên Scallop không bị ảnh hưởng.
Hai giờ sau, Scallop xác nhận đã mở lại các hợp đồng chính. Giao dịch rút và gửi tiền được khôi phục lúc 14:42 UTC.
Phần lớn người dùng trên Sui network không bị ảnh hưởng bởi sự cố vào sáng hôm đó.
“Scallop sẽ hoàn trả 100% thiệt hại cho người dùng,” theo thông báo từ Scallop.
Mã lỗi thời từ năm 2023 là nguyên nhân của vụ tấn công
Các phân tích độc lập trên blockchain cho biết lỗ hổng xuất phát từ một gói V2 spool đã bị bỏ dùng. Scallop đã triển khai bộ mã này vào tháng 11/2023, tức hơn 17 tháng trước khi sự cố xảy ra. Trên Sui, các gói mã đã deploy sẽ không thể chỉnh sửa. Các phiên bản cũ vẫn có thể bị gọi nếu không được chặn truy cập.
Lỗi nằm ở biến đếm last_index chưa được khởi tạo, dùng để theo dõi phần thưởng tích lũy dành cho người stake. Kẻ tấn công đã stake khoảng 136,000 sSUI để tận dụng lỗ hổng này.
Cách tính toán này khiến cho hệ thống hiểu nhầm vị trí stake này đã tồn tại từ khi spool ra mắt vào tháng 08/2023.
Chỉ số spool đã tăng lên khoảng 1.19 tỷ sau 20 tháng. Điều này giúp kẻ tấn công thu hoạch được khoảng 162 ngàn tỷ điểm thưởng, được đổi một-đổi-một sang 150,000 SUI rút từ pool phần thưởng.
Mã giao dịch 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL ghi nhận bằng chứng trên chuỗi về việc rút tiền này.
Mô hình tấn công quen thuộc trên hệ sinh thái DeFi Sui
Sự việc lần này nối tiếp hàng loạt vụ tấn công nhắm vào Sui trong thời gian qua. Gần đây, Volo Protocol cũng bị mất khoảng 3.5 triệu USD với cách tấn công ngoại vi tương tự. Các vụ tấn công đều nhắm tới hợp đồng phụ thay vì lõi giao thức chính.
Trước đó một tuần, mạng Ethereum cũng chứng kiến một vụ tấn công cầu nối lớn, dẫn đến việc tạo ra khoảng 292 triệu USD token liquid restaking không được bảo chứng. Đáng chú ý, cả hai vụ đều xảy ra vào cuối tuần – thời điểm thanh khoản thấp và đội ngũ phản ứng thường chậm hơn.
Hiện tại, cả Sui Foundation và Mysten Labs đều chưa lên tiếng chính thức về sự việc.
Tuy nhiên, với Scallop, thiệt hại tài chính lần này có vẻ đã được kiểm soát. Giao thức xác nhận họ sẽ tự chịu toàn bộ khoản lỗ mà không ảnh hưởng tới lợi suất của người dùng.
Hiện đội ngũ chưa công bố báo cáo chi tiết về sự cố, nhưng nhiều khả năng họ sẽ sớm công bố kết quả kiểm tra toàn diện tất cả các gói mã cũ còn dùng – điều này có thể sẽ tác động mạnh đến cách các dự án DeFi trên Sui ứng phó trong thời gian tới.
Một câu hỏi lớn hơn là các builder trên Sui nên kiểm soát mã nguồn không thể thay đổi và những lỗ hổng tiềm ẩn bị lãng quên như thế nào.
