Một vi phạm an ninh nghiêm trọng đã ảnh hưởng đến hệ sinh thái Sui blockchain, với hơn $200 triệu bị tấn công từ các bể thanh khoản trên Cetus, sàn giao dịch phi tập trung lớn nhất của mạng.
Cuộc tấn công đã dẫn đến tổn thất lan rộng khắp hàng chục token trên mạng Sui, làm dấy lên những lo ngại về sự an toàn của cơ chế định giá dựa trên oracle trên các nền tảng Layer 1 mới nổi.
Cuộc tấn công đã kích hoạt một đợt bán tháo mạnh ở nhiều token dựa trên Sui. Các đồng meme như Lofi (LOFI), Sudeng (HIPPO), và Squirtle (SQUIRT) chứng kiến sự xói mòn giá trị gần như hoàn toàn, với tổn thất từ 76% đến 97% trong vòng chưa đầy một giờ. Token của chính Cetus đã giảm 53%. Phân tích trên chuỗi từ DEX Screener cho thấy 46 token của Sui đăng tải mức giảm hai chữ số trong khoảng thời gian 24 giờ sau sự cố.
Dù đợt giảm giá token mạnh và sự dễ tổn thương rõ rệt của hạ tầng quan trọng, token SUI gốc lại tỏ ra khá bền, tăng 2.2% trong cùng khung thời gian, có thể là do mua vào giảm giá hoặc đà tăng của thị trường rộng hơn.
Theo công ty bảo mật blockchain Cyvers, các kẻ tấn công đã thực hiện một chiến lược thao túng oracle tinh vi. Khai thác các điểm yếu trong hợp đồng thông minh của Cetus, họ sử dụng các token giả được thiết kế để làm sai lệch dự trữ hồ thanh khoản và làm méo lệnh giá.
"Cuộc tấn công sử dụng các token giả tạo ra dữ liệu giá sai lệch trong các bể thị trường tự động (AMM) của DEX," CEO của Cyvers, Deddy Lavid, cho biết. "Sự thao túng này cho phép các kẻ tấn công lấy đi các tài sản hợp pháp như SUI và USDC từ nhiều bể thanh khoản."
Sự cố này nổi bật lên một rủi ro đã biết trong tài chính phi tập trung (DeFi): sự phụ thuộc vào các oracle trên chuỗi để cung cấp dữ liệu giá. Trong trường hợp này, kẻ tấn công có thể điều chỉnh các đường cong giá nội bộ mà không cần dựa vào các oracle cung cấp dữ liệu giá truyền thống như Chainlink, gợi ý một yếu điểm sâu sắc hơn về cấu trúc.
Di chuyển xuyên chuỗi: Rửa tiền từ số tiền thu được
Sau cuộc tấn công, các kẻ tấn công bắt đầu di chuyển số tiền ăn trộm. Dữ liệu blockchain tiết lộ rằng khoảng $61.5 triệu USDC đã được nhanh chóng chuyển qua cầu đến Ethereum. Một số tiền là $164 triệu còn được giữ trong một ví dựa trên Sui. Tính đến khi công bố, không có tài sản nào được thu hồi, và các thám tử trên chuỗi vẫn tiếp tục theo dõi sự di chuyển của số tiền.
Việc chuyển đổi các tài sản bị đánh cắp sang USDC nhấn mạnh sự quan trọng liên tục của stablecoin trong các hoạt động rửa tiền. Nó cũng làm tái bùng nổ những phê phán lâu đời đối với các nhà phát hành stablecoin như Circle và Tether vì thời gian phản ứng thường xuyên chậm chạp trong việc đóng băng nguồn tiền thu nhập bất hợp pháp.
Các nhà phát hành Stablecoin bị chỉ trích
Các tổ chức giám sát ngành, bao gồm ZachXBT và Cyvers, đã bày tỏ lo ngại về tốc độ phản ứng chậm chạp của nhà phát hành USDC, Circle. Vào tháng 2, Circle mất hơn năm giờ để đóng băng nguồn tiền liên quan đến khai thác Bybit, một sự chậm trễ mà các chuyên gia tin rằng đã cung cấp thời gian cần thiết để kẻ tấn công thoát ra. Tether đã phải đối mặt với sự giám sát tương tự về những trì hoãn trong việc đóng băng các tài khoản ác ý.
"Chúng tôi đã đưa ra cảnh báo theo thời gian thực trong nhiều vụ tấn công, bao gồm cả vụ này, nhưng phản ứng từ các nhà phát hành thường đến quá muộn," Lavid nói. "Sự chậm trễ này tạo ra những khoảng trống có thể khai thác để lợi dụng, làm mất ý nghĩa của các can thiệp sau sự kiện."
Ngày càng nhiều chỉ trích đang thúc đẩy các cuộc trò chuyện mới về các lựa chọn thay thế phi tập trung cho stablecoin và nhu cầu về các cơ chế đóng băng tự động có thể làm giảm độ trễ do con người trong các tình huống khẩn cấp.
Phản ứng của giao thức và cuộc điều tra
Cetus đã hành động nhanh chóng để tạm dừng các hợp đồng thông minh của mình sau khi phát hiện ra cuộc tấn công. Giao thức công khai thừa nhận "sự cố" qua mạng xã hội và thông báo rằng các đội nội bộ của họ đã tiến hành một cuộc điều tra pháp y.
Những thông điệp nội bộ rò rỉ từ Discord của Cetus gợi ý rằng gốc rễ của cuộc khai thác có thể là một lỗi trong logic của oracle. Tuy nhiên, các quan sát viên trên mạng xã hội đã bày tỏ sự hoài nghi, lưu ý rằng các yếu điểm trong logic AMM và kiến trúc hồ thanh khoản thường có thể giả danh như các vấn đề oracle.
"Đây không phải là một lỗi về oracle giá theo kiểu truyền thống," một nhà phát triển DeFi nói với điều kiện giấu tên. "Đó là một vấn đề hệ thống về cách mà một số DEX tính toán giá token nội bộ trong các hồ giao dịch khan hiếm."
Ảnh hưởng đến hệ sinh thái rộng lớn hơn của Sui
Sui, một blockchain Layer 1 được phát triển bởi các kỹ sư từ Meta, đã tự định vị như một lựa chọn hiệu suất cao thay thế cho Ethereum. Nó ra mắt với sự chào đón lớn và đã thu hút được sự quan tâm từ các nhà phát triển nhờ ngôn ngữ lập trình Move và mô hình thực hiện giao dịch song song.
Tuy nhiên, vụ khai thác này giờ đây đặt ra câu hỏi về mức độ trưởng thành của DeFi của nó. Mặc dù giao thức cơ bản của Sui không bị xâm phạm, vụ tấn công nhấn mạnh rằng các mức độ dễ tổn thương trong các ứng dụng quan trọng như DEX có thể gây ra rủi ro hệ thống cho các chuỗi mới hơn.
Thực tế rằng giá token đã giảm mạnh cũng cho thấy thanh khoản hạn chế và tiềm năng tiếp cận cao của thị trường, một đặc điểm của các hệ sinh thái non trẻ. Việc khôi phục có thể phụ thuộc vào mức độ nhanh chóng mà Cetus và các thành viên khác trong hệ sinh thái có thể khôi phục niềm tin và thanh khoản.
Phản ứng của cộng đồng và ngành công nghiệp
Cựu CEO của Binance, Changpeng Zhao (CZ), đã công nhận sự khai thác trên mạng xã hội, nói rằng đội của anh ấy đang "làm những gì họ có thể để giúp Sui." Mặc dù bình luận này thiếu chi tiết, nó gợi ý rằng Binance có thể đang hỗ trợ các nỗ lực giám sát hoặc khôi phục.
Phản ứng rộng lớn hơn trong ngành tập trung vào những nguy hiểm của sự phát triển không kiểm soát trong các giao thức DeFi mà không đồng thời đầu tư vào an ninh. Các nhà phân tích lưu ý rằng cuộc chạy đua để thu hút thanh khoản và khối lượng người dùng thường dẫn đến việc triển khai các hợp đồng thông minh chưa được kiểm toán hoặc chỉ được kiểm toán sơ sài.
"Điều này không chỉ riêng cho Sui hay Cetus," một giám đốc ngành cho biết. "Đó là một mô hình tái diễn qua mọi làn sóng Layer 1 và DeFi - sự đổi mới di chuyển nhanh hơn so với an ninh, và người dùng phải trả giá."
Hậu quả pháp lý và dài hạn
Vụ khai thác có khả năng làm tăng cường giám sát pháp lý quanh các cầu nối chuỗi, các giao thức DeFi, và hoạt động của stablecoin. Khi các cơ quan pháp lý toàn cầu tiếp tục soạn thảo các khung pháp lý mới cho tiền mã hóa, các sự cố nổi bật như thế này cung cấp lý do cho sự giám sát chặt chẽ hơn.
Nó cũng làm sống lại câu hỏi về bảo hiểm và bảo vệ người dùng trong DeFi. Khi không có biện pháp truy đòi rõ ràng cho những người dùng bị ảnh hưởng bởi khai thác, áp lực có thể gia tăng đối với các giao thức để áp dụng các cơ chế bảo hiểm trên chuỗi hoặc đóng góp vào các quỹ phục hồi phi tập trung.
Một số nhà phân tích lập luận rằng những sự cố như vậy có thể đẩy nhanh sự chuyển dịch sang các app chain và hệ sinh thái DeFi tích hợp dọc nhiều hơn, nơi mà an ninh và hạ tầng oracle được kiểm soát chặt chẽ hơn.
Một mô hình quen thuộc trong DeFi
Thao túng oracle vẫn là một trong những kênh tấn công dai dẳng nhất trong DeFi. Các khai thác tương tự đã được sử dụng để rút hàng triệu từ các giao thức trên Ethereum, BNB Chain, Avalanche, và Solana. Phương pháp có thể khác nhau, nhưng nguyên tắc vẫn giống: thao túng cơ chế khám phá giá để trích xuất giá trị.
Sự khai thác này nhấn mạnh nhu cầu về các hệ thống oracle mạnh mẽ hơn, bao gồm các mô hình kết hợp tích hợp cả dữ liệu trên và ngoài chuỗi, các cơ chế giới hạn tỷ lệ để ngăn chặn thao túng, và mở rộng ứng dụng của các công tắc ngắt có thể tạm dừng hoạt động khi phát hiện bất thường giá.
Suy ngẫm cuối cùng
Đối với Sui, những tuần tới sẽ là rất quan trọng. Cách mà Cetus và các thành viên chủ chốt khác trong hệ sinh thái phản ứng sẽ xác định liệu sự tin tưởng của nhà phát triển và người dùng có thể được khôi phục hay không. Nếu thanh khoản vẫn thấp và các dự án lớn tạm dừng phát triển, chuỗi có nguy cơ mất đà đúng lúc cạnh tranh tăng cường từ các Layer 1 khác.
Trong khi đó, cộng đồng DeFi rộng lớn hơn một lần nữa được nhắc nhở rằng các hệ thống không cấp phép đòi hỏi không chỉ sự đổi mới mà còn cả kỷ luật
- đặc biệt khi nói đến thiết kế hợp đồng thông minh, bảo mật oracle và phối hợp phản ứng sự cố.
Cuộc tấn công Sui có thể không phải là cuộc khai thác liên quan đến oracle cuối cùng của năm 2025. Nhưng nếu ngành công nghiệp này nghiêm túc về khoản mở rộng an toàn, nó phải ngừng coi an ninh là một suy nghĩ sau và bắt đầu nhúng nó như một nguyên tắc thiết kế cốt lõi ngay từ đầu.