Giao thức Nemo trên Sui bị hack, thiệt hại 2,59 triệu USD do lỗi hợp đồng thông minh

Theo báo cáo mới công bố, giao thức giao dịch lợi nhuận dựa trên nền tảng Sui là Nemo vừa trở thành nạn nhân của một vụ tấn công khai thác hợp đồng thông minh, khiến thiệt hại lên đến khoảng 2,59 triệu USD (tương đương gần 36 tỷ đồng). Vụ việc tiếp tục đặt ra câu hỏi lớn về công tác an ninh trong lĩnh vực tiền mã hóa, đặc biệt với các dự án chưa được kiểm toán kỹ lưỡng trước khi triển khai.

Theo Nemo cho biết trong một báo cáo phân tích nguyên nhân sự cố ngày 7, vụ hack xảy ra xuất phát từ lỗ hổng trong hàm get_sy_amount_in_for_exact_py_out – một chức năng được thiết kế để tối ưu hóa trượt giá (slippage). Kẻ tấn công đã lợi dụng lỗ hổng này để thao túng trạng thái giao thức theo hướng có lợi, qua đó chiếm đoạt tài sản. Đáng chú ý, đoạn mã chứa hàm nói trên chưa từng được công ty kiểm toán bảo mật Asymptotic chấp thuận khi được triển khai trên blockchain.

Dù Asymptotic từng cảnh báo đoạn mã mang rủi ro cao từ trước, đội phát triển dự án Nemo thừa nhận đã không phản ứng kịp thời. Bên cạnh đó, họ cũng bỏ qua quy trình xác thực bằng hash kiểm toán – vốn là công đoạn bắt buộc – khiến việc triển khai chỉ cần chữ ký của một lập trình viên duy nhất. Việc này cho thấy lỗ hổng không chỉ nằm ở mã nguồn mà còn từ sự thiếu kiểm soát trong quy trình vận hành.

Sự việc này gợi nhớ đến vụ tấn công vào SuperRare – một nền tảng giao dịch NFT – hồi cuối tháng 7, nơi một lỗi cơ bản trong hợp đồng thông minh gây thiệt hại khoảng 730.000 USD (gần 10,2 tỷ đồng), mà chỉ với quy trình kiểm thử đơn giản cũng có thể tránh được.

Theo Nemo, đoạn mã chứa lỗ hổng đã được đưa lên mạng từ tháng 1, nhưng đến tận tháng 4 mới có các cải tiến về quy trình an ninh, muộn hơn 3 tháng so với thời điểm triển khai. Đáng nói hơn, dù Asymptotic một lần nữa cảnh báo mối nguy này vào ngày 11 tháng 8, dự án vẫn chưa hành động ngay do đang tập trung xử lý các vấn đề khác.

Hiện tại, Nemo đang tạm dừng một số chức năng cốt lõi của giao thức nhằm kiểm soát thiệt hại, đồng thời hợp tác với nhiều đội bảo mật để tiến hành truy dấu và phong tỏa tài sản của tin tặc trên các sàn giao dịch tập trung.

Dự án cũng đã phát triển bản vá khẩn cấp đang được Asymptotic kiểm tra lại. Các bước sửa lỗi bao gồm loại bỏ tính năng flash loan vốn dễ bị khai thác, bổ sung tùy chọn khởi động lại thủ công để kiểm soát kỹ hơn trạng thái hệ thống. Bên cạnh đó, kế hoạch đền bù cho người dùng cũng đang được xây dựng, trong đó có phương án cơ cấu lại tokenomics để tái phân phối nguồn lực phù hợp.

Dự án Nemo khẳng định thất bại lần này chính là hồi chuông cảnh tỉnh cho toàn bộ đội ngũ khi "bảo mật và quản lý rủi ro là những lĩnh vực không bao giờ được phép lơ là". Với kinh nghiệm xương máu vừa trải qua, Nemo cam kết sẽ củng cố quy trình kiểm soát nội bộ, duy trì tư duy phòng thủ chủ động và không ngừng hoàn thiện khả năng phản ứng với rủi ro trong không gian tiền mã hóa.

Từ vụ việc của Nemo, một lần nữa có thể thấy rằng việc bỏ qua quy trình kiểm toán, dù chỉ một phần nhỏ, cũng có thể đưa cả một dự án rơi vào khủng hoảng. Trong bối cảnh ngày càng nhiều dự án phát triển trên các nền tảng mới như Sui, tính minh bạch, kiểm toán mã nguồn và kỷ luật vận hành là những yếu tố không thể thiếu để bảo vệ tài sản và niềm tin của cộng đồng người dùng và nhà đầu tư.