Sàn DEX Cetus trên Sui đối mặt nghi án hack với thiệt hại tiềm tàng hơn 200 triệu USD do khai thác lỗ hổng, làm dấy lên lo ngại về an ninh.
Nền tảng giao dịch phi tập trung Cetus, hoạt động trên blockchain Sui, đang đối mặt với nghi vấn bị khai thác lỗ hổng bảo mật nghiêm trọng, với tổng giá trị tài sản bị rút khỏi giao thức có thể vượt 200 triệu USD. Diễn biến này đang làm dấy lên quan ngại sâu sắc về mức độ an toàn của các DEX trong hệ sinh thái Web3.
Theo dữ liệu on-chain, một lượng lớn tài sản đã bị rút chỉ trong thời gian ngắn, dù đội ngũ phát triển Cetus ban đầu mô tả sự cố là một “lỗi kỹ thuật”. Nhà nghiên cứu Web3 ẩn danh COMDARE3 là người đầu tiên cảnh báo trên nền tảng X (trước đây là Twitter) về hoạt động bất thường tại Cetus, kèm ảnh chụp từ DEX Screener cho thấy hàng loạt token sụt giá mạnh – nhiều mã mất hơn 50% giá trị trong vòng 24 giờ.
Dữ liệu của Cetus. Nguồn: DEX Screener
Công cụ giám sát on-chain Extractor, do công ty an ninh mạng blockchain Hacken phát triển, sau đó xác nhận: ít nhất 63 triệu USD đã được bridge sang Ethereum, bao gồm một giao dịch riêng lẻ chuyển tới 20.000 ETH vào một ví mới. Các phát hiện này được xác thực bởi ông Yehor Rudytsia – nhà nghiên cứu tại Hacken.
Dữ liệu từ các pool thanh khoản Cetus cho thấy tổng khối lượng giao dịch trong ngày 22/5 đạt gần 2,9 tỷ USD, tăng đột biến so với mức 320 triệu USD của ngày liền kề. Mức tăng bất thường này nhiều khả năng phản ánh quy mô tài sản bị rút.
Ảnh hưởng của sự cố lan rộng trong hệ sinh thái. Các token như Lombard Staked BTC (LBTC) và AXOLcoin (AXOL) gần như mất toàn bộ giá trị trên Cetus. Top 15 tài sản chịu thiệt hại nặng nhất đều giảm trên 75%. Giao thức Scallop – một nền tảng cho vay được xây dựng trên Sui – đã tạm ngừng mọi hoạt động vay mượn, đồng thời trấn an người dùng rằng tài sản vẫn được bảo toàn.
Đáng lưu ý, một số tài sản như LBTC ghi nhận mức hồi phục nhẹ trên các nền tảng khác như CoinMarketCap, trong khi AXOL giảm đến 99,5%, gần như bị xóa sổ về mặt thanh khoản.
Ví điện tử bị nghi do thủ phạm kiểm soát hiện đang nắm giữ danh mục tài sản lớn, bao gồm: khoảng 52 triệu USD token SUI, 4,9 triệu USD Haedal Staked SUI (HASUI), hơn 19,5 triệu USD Toilet (TOILET), gần 19,5 triệu USD wrapped USDT và nhiều token khác.
Tài khoản chính thức của Cetus trên X xác nhận sự cố và cho biết smart contract đã bị khóa để ngăn chặn tổn thất lan rộng. Tuy nhiên, một số chuyên gia và công ty giám sát blockchain tỏ ra nghi ngờ về tính minh bạch trong cách dự án xử lý khủng hoảng.
Phát biểu với Cointelegraph, đại diện công ty phân tích AMLBot cho biết họ ghi nhận tổng cộng 212 triệu USD đã được bridge sang Ethereum với tốc độ lên đến 1 triệu USD/phút, một dấu hiệu cho thấy đây có thể không đơn thuần là một “lỗi kỹ thuật”.
Đại diện AMLBot cũng dẫn lại bình luận từ đội ngũ Cetus trên Discord – nơi vụ việc ban đầu được mô tả là “lỗi nhỏ” – và nhận định: “Thời điểm và quy mô của vụ việc khiến cách giải thích này trở nên khó thuyết phục.”
Dịch vụ dữ liệu Onchain Lens cũng báo cáo rằng kẻ tấn công đã chiếm quyền kiểm soát các pool thanh khoản chính gắn với SUI, khai thác hơn 200 triệu USD và bắt đầu di chuyển thêm các tài sản như USDC. Tính đến thời điểm hiện tại, cả Cetus lẫn đội ngũ phát triển blockchain Sui vẫn chưa đưa ra phản hồi chính thức về yêu cầu bình luận từ giới truyền thông.
