Thông tin của HCCVenture Group chỉ nhằm mục đích cung cấp thông tin tham khảo và không được xem là lời khuyên đầu tư. Chúng tôi không chịu trách nhiệm đối với bất kỳ rủi ro hay tổn thất nào phát sinh từ các quyết định đầu tư dựa trên nội dung tại đây.

Lỗi tràn số trong AMM dẫn đến vụ hack 223 triệu USD của Cetus Protocol

Cetus Protocol, một sàn giao dịch phi tập trung (DEX) sử dụng cơ chế AMM (Automated Market Maker) được xây dựng trên hai blockchain Sui và Aptos, đã trở thành tâm điểm của một vụ tấn công mạng nghiêm trọng.

TIN TỨC

5/26/20255 phút đọc

Bối cảnh vụ tấn công

Cetus Protocol là một nền tảng AMM DEX nổi bật, sử dụng cơ chế thanh khoản tập trung (Concentrated Liquidity Market Maker - CLMM) và được phát triển bằng ngôn ngữ lập trình Move. Giao thức này hoạt động trên hai blockchain tiên tiến là Sui và Aptos, thu hút nhiều nhà đầu tư nhờ tính năng tối ưu hóa thanh khoản và hiệu quả giao dịch. Với sự hậu thuẫn từ các quỹ đầu tư uy tín như OKX Ventures, Kucoin Ventures, Animoca Brands, và Jump Crypto, Cetus đã nhanh chóng trở thành một trong những dự án chủ chốt trong hệ sinh thái DeFi (tài chính phi tập trung). Tuy nhiên, sự phát triển nhanh chóng này cũng đi kèm với những rủi ro bảo mật tiềm ẩn.

Theo thông tin từ các nguồn trên mạng xã hội X và các báo cáo phân tích, vụ hack xảy ra vào tối ngày 22/05/2025, khi một hacker đã khai thác lỗ hổng trong hợp đồng thông minh (smart contract) của Cetus, dẫn đến việc rút toàn bộ thanh khoản từ các pool. Thiệt hại ban đầu được ước tính khoảng 223 triệu USD, với 160 triệu USD trong số đó đã được đóng băng nhờ phản ứng kịp thời từ đội ngũ phát triển và cộng đồng Sui Network.

Lỗi tràn số: “Gót chân Achilles” của Cetus

Nguyên nhân chính của vụ tấn công được xác định là lỗi tràn số (integer overflow) trong cơ chế AMM của Cetus. Lỗi tràn số là một vấn đề kỹ thuật xảy ra khi giá trị số vượt quá giới hạn mà một kiểu dữ liệu có thể lưu trữ, dẫn đến kết quả tính toán sai lệch. Trong trường hợp này, hacker đã lợi dụng lỗi trong hàm xử lý phép dịch bit (bit shift operation, cụ thể là toán tử <<) để thao túng logic của giao thức.

Hacker đã sử dụng kỹ thuật vay nhanh (flash loan) để thực hiện vụ tấn công. Quy trình khai thác có thể được tóm tắt như sau:

  • Vay nhanh (Flash Loan): Hacker vay một lượng lớn token A thông qua flash loan, một hình thức vay không cần thế chấp phổ biến trong DeFi.

  • Khai thác lỗi tràn số: Bằng cách nạp một lượng nhỏ token A vào pool thanh khoản, hacker đã lợi dụng lỗi tràn số trong hàm xử lý để khiến giao thức hiểu sai rằng đã nhận đủ số token cần thiết.

  • Rút thanh khoản: Giao thức, do lỗi sai trong tính toán, cho phép hacker rút toàn bộ token B (cụ thể là token SUI) từ pool, trong khi chỉ trả lại một lượng nhỏ token A.

  • Hacker hoàn trả khoản vay flash loan, giữ lại số token SUI đánh cắp được.

Lỗi tràn số này đặc biệt nguy hiểm vì nó làm sai lệch logic cốt lõi của AMM, vốn phụ thuộc vào các phép tính chính xác để duy trì tỷ lệ thanh khoản giữa các cặp token. Việc sử dụng kiểu dữ liệu không phù hợp (ví dụ, unsigned integer) mà không kiểm tra giới hạn giá trị là nguyên nhân chính khiến Cetus dễ bị tấn công.

Đánh giá và kết luận

Vụ hack đã gây ra những tác động nghiêm trọng không chỉ với Cetus mà còn với toàn bộ hệ sinh thái Sui và Aptos:

  • Mất 223 triệu USD thanh khoản là một cú sốc lớn, làm lung lay niềm tin của nhà đầu tư vào các dự án DeFi trên Sui. Mặc dù 160 triệu USD đã được đóng băng, việc khôi phục số tiền này vẫn đang là một thách thức lớn.

  • Cetus, với vai trò là AMM lớn nhất hệ Sui, đối mặt với nguy cơ mất uy tín. Các nhà đầu tư và người dùng có thể do dự khi tham gia vào các giao thức DeFi khác trên cùng hệ sinh thái.

  • Giá token SUI và các token liên quan trên hệ Sui có khả năng chịu áp lực giảm giá sau vụ việc, ảnh hưởng đến các nhà giao dịch và nhà cung cấp thanh khoản (LP).

Vụ hack 223 triệu USD của Cetus Protocol là một hồi chuông cảnh tỉnh cho ngành DeFi, đặc biệt trong bối cảnh các giao thức AMM đang ngày càng phổ biến. Lỗi tràn số, dù là một vấn đề kỹ thuật cơ bản, đã cho thấy sức tàn phá khủng khiếp khi không được xử lý đúng cách. Dù đội ngũ Cetus và Sui Network đang nỗ lực khắc phục hậu quả, vụ việc này nhấn mạnh tầm quan trọng của bảo mật trong quá trình phát triển các giao thức tài chính phi tập trung.

Một lần nữa chúng tôi đưa ra nhận định về dự án tiềm năng trong thị trường crypto. Đây không phải lời khuyên đầu tư, hãy cân nhắc danh mục đầu tư của bạn. Tuyên bố miễn trừ trách nhiệm: Quan điểm thể hiện trong bài viết này chỉ là quan điểm của tác giả và không đại diện cho nền tảng dưới bất kỳ hình thức nào. Bài viết này không nhằm mục đích hướng dẫn đưa ra quyết định đầu tư.

Tổng hợp và phân tích bởi HCCVenture

Tham gia cộng đồng telegram của chúng tôi : HCCVenture