Scallop Exploit Rút 150K SUI Qua Hợp Đồng Đã Lỗi Thời Khi Lỗ Hổng Ẩn Tồn Tại 17 Tháng

Scallop xác nhận bị tấn công có chủ đích: 150.000 token SUI bị rút khỏi nhóm phần thưởng sSUI.

Giao thức DeFi Scallop trên nền tảng Sui đã xác nhận rằng họ là mục tiêu của một cuộc tấn công khai thác lỗ hổng, làm cạn kiệt khoảng 150.000 SUI từ nhóm phần thưởng sSUI, đồng thời phát lộ một lỗi tồn tại từ lâu ẩn bên trong một hợp đồng thông minh không còn được sử dụng.

Theo tuyên bố chính thức của giao thức, họ nhận thấy rằng kẻ tấn công đã hoàn toàn bỏ qua cơ sở mã đang hoạt động và các giao diện SDK tiêu chuẩn. Thay vào đó, chúng gọi vào phiên bản gói V2 không còn được sử dụng có từ tháng 11 năm 2023, vẫn còn trên chuỗi nhưng không được dùng đến trong nhiều tháng.

Mức độ chính xác này đã thu hút sự chú ý đáng kể trong toàn hệ sinh thái. Cuộc khai thác này có thể ngụ ý việc thực hiện reverse engineering chuyên sâu, hoặc ai đó có sự quen thuộc sâu sắc với kiến trúc hợp đồng.

Đáng chú ý nhất, lỗ hổng này không bị phát hiện trong gần 17 tháng vì hệ sinh thái đã chuyển sang các phiên bản hợp đồng mới. Scallop đã lên Twitter để xác nhận sự cố và cho biết người dùng hiện tại đã an toàn vì các biện pháp kiểm soát tức thời đã được triển khai.

Khai thác cơ chế tính toán phần thưởng bị lỗi

Cuộc tấn công cho thấy một lỗ hổng nghiêm trọng trong logic tính toán phần thưởng của hợp đồng không còn được sử dụng. Nó sử dụng cái gọi là "spool index" - một giá trị tăng liên tục đại diện cho tổng phần thưởng tích lũy trong nhóm đó theo thời gian.

Trong quá trình hoạt động bình thường, mỗi tài khoản người dùng lưu lại last_index khi họ stake. Phần thưởng được tính dựa trên chênh lệch giữa chỉ số tại thời điểm đó và giá trị được lưu trữ, để không người dùng nào có thể kiếm phần thưởng trước khi bắt đầu stake.

Tuy nhiên, trong gói V2 cũ, các tài khoản spool mới được tạo không bao giờ được khởi tạo; last_index luôn bằng không. Và lỗi này đã tạo ra một kẽ hở lớn.

Nhóm bị rút cạn dẫn đến số điểm bị bùng nổ khổng lồ

Hậu quả của lỗi này xảy ra ngay lập tức và nghiêm trọng. Spool index đã tăng lên gần 1,19 tỷ trong khoảng 20 tháng. Kẻ tấn công được thưởng 162 nghìn tỷ điểm phần thưởng bị thổi phồng, tương ứng đều với 136.000 sSUI đã stake.

Làm trầm trọng thêm tình hình, nhóm phần thưởng có tỷ lệ chuyển đổi 1:1 sao cho mỗi điểm phần thưởng chuyển đổi trực tiếp thành token SUI. Điều này cho phép kẻ tấn công dễ dàng rút điểm thu được thông qua lạm phát nhân tạo thành tài sản thực.

Cuộc khai thác dẫn đến việc làm cạn kiệt nhóm phần thưởng, lúc đó chứa khoảng 150.000 SUI. Mặc dù phần thưởng hợp lý hóa của kẻ tấn công vượt xa số dư của nhóm, chỉ có thanh khoản hiện có mới bị rút ra.

Tính bất biến của hợp đồng tạo ra bề mặt tấn công vĩnh viễn

Sự cố này minh họa một trong những thách thức mang tính hệ thống tồn tại với các gói đã triển khai trên hệ sinh thái Sui: các gói đã triển khai là bất biến. Và khi một hợp đồng thông minh lên chuỗi, nó không thể bị xóa hay sửa đổi. Tất cả các phiên bản, cũ lẫn mới, vẫn có thể được gọi mãi mãi.

Trong khi Scallop chuyển hướng người dùng đến một gói mới, an toàn hơn thông qua SDK của họ, hợp đồng V2 cũ vẫn có thể truy cập được. Các đối tượng Spooled và RewardsPool được chia sẻ, vì vậy kẻ tấn công có thể hoàn toàn bỏ qua logic đã được cập nhật do không có hạn chế phiên bản đối với chúng.

Loại lỗ hổng này, đã được phân loại lại là rủi ro "gói lỗi thời", làm sáng tỏ một điểm mù quan trọng đối với nhiều hệ thống DeFi. Các hợp đồng kế thừa có thể là vectơ tấn công vĩnh viễn vì không có kiểm tra phiên bản rõ ràng được tích hợp vào các đối tượng được chia sẻ.

Các mẫu lỗ hổng ngoài lõi rộng hơn đang xuất hiện

Cuộc khai thác Scallop là một sự kiện, không phải kết quả vô tận của một xu hướng lớn hơn đã diễn ra suốt tháng 4. Nhiều cuộc tấn công gần đây không bắt nguồn từ logic giao thức cốt lõi mà từ các khía cạnh ngoại vi hoặc bị bỏ qua. Lỗ hổng trong cơ sở hạ tầng RPC của KelpDAO, lớp bảo mật (MWEB) của Litecoin và lỗi kiểm soát truy cập trong hệ thống adapter của Aethir chỉ là một vài ví dụ.

Trong tất cả các trường hợp, nguồn gốc nằm bên ngoài hợp đồng chính và trong các mô-đun phụ hoặc kế thừa khác. Việc sử dụng mẫu như vậy cho thấy kẻ tấn công đã thay đổi chiến thuật. Tin tặc dành ít thời gian hơn vào các hợp đồng cốt lõi được kiểm toán nhiều, và nhiều thời gian hơn để tấn công các rìa của hệ sinh thái có khả năng giám sát perimeter rất yếu. Điều này đòi hỏi sự thay đổi mô hình tư duy đối với các nhà phát triển và kiểm toán viên. Chỉ bảo mật các triển khai mới là không đủ, tất cả các hợp đồng lịch sử, điểm tích hợp và các thành phần cơ sở hạ tầng nên được coi là bề mặt mối đe dọa đang hoạt động.

Bồi thường đầy đủ và phục hồi hệ thống của Scallop

Scallop đã sử dụng cách tiếp cận nhanh chóng và quyết đoán trong việc ứng phó với cuộc khai thác. Hợp đồng bị tấn công đã bị đóng băng ngay lập tức sau đó, có nghĩa là chỉ một nhóm phần thưởng bị ảnh hưởng bởi cuộc tấn công này.

Nhóm đã xác nhận rằng các hợp đồng cốt lõi vẫn an toàn và không có khoản tiền gửi nào của người dùng bị ảnh hưởng. Các nhóm khác vẫn không bị ảnh hưởng và các chức năng chính của giao thức hoạt động trở lại ngay khi các phần không bị ảnh hưởng được giải đóng băng.

Đáng chú ý, Scallop đã cam kết bồi thường 100% các tổn thất đã xảy ra do cuộc khai thác. Cam kết này thể hiện trách nhiệm trong việc khắc phục các lỗ hổng bảo mật bất ngờ, và nhằm mục tiêu lấy lại niềm tin của người dùng.

Việc nạp và rút tiền đã được tiếp tục, cho thấy sự ổn định của hệ thống đã được khôi phục.

Bài học từ thế giới bảo mật DeFi

Sự cố Scallop thể hiện một bài học quan trọng cho toàn bộ hệ sinh thái DeFi. Khi thực thi trong môi trường hợp đồng thông minh bất biến, bảo mật không bao giờ là việc cài đặt một lần rồi để đó.

Bất kỳ phiên bản nào của hợp đồng đã triển khai đều là một phần của hệ thống đang hoạt động. Ngay cả mã không hoạt động cũng có thể tạo thành một điểm thất bại duy nhất sau vài tháng hoặc vài năm, nếu các biện pháp bảo vệ thích hợp dễ dàng bị bỏ qua.

Trong tương lai, hệ sinh thái cần áp dụng các phương pháp kiểm soát phiên bản chặt chẽ hơn, giám sát liên tục đối với các hợp đồng kế thừa và mở rộng phạm vi kiểm toán để bao gồm tất cả các triển khai trước đó. Như cuộc khai thác cho thấy, những kẻ tấn công sẵn sàng đi sâu vào lịch sử của một giao thức để tìm ra các điểm yếu có thể khai thác.

Cuối cùng, tài chính phi tập trung sẽ chỉ bền vững như những giao thức có thể thích nghi với bối cảnh mối đe dọa luôn thay đổi này.

Lưu ý: Đây không phải là lời khuyên giao dịch hay đầu tư. Hãy luôn tự nghiên cứu trước khi mua bất kỳ tiền mã hoá nào hoặc đầu tư vào bất kỳ dịch vụ nào.

Theo dõi chúng tôi trên Twitter @themerklehash để cập nhật những tin tức mới nhất về Crypto, NFT, AI, an ninh mạng và Metaverse!

Bài viết Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months xuất hiện đầu tiên trên The Merkle News.