Lỗ hổng Nemo Protocol đánh cắp 2,4 triệu tài khoản và thử nghiệm bảo mật DeFi

Vụ khai thác Nemo Protocol trên mạng Sui là minh chứng mới nhất cho thấy các giao thức DeFi vẫn rất dễ bị tấn công. Khoảng 2,4 triệu USD, chủ yếu là USDC, đã bị đánh cắp sau khi kẻ tấn công phát hiện điểm yếu trong hợp đồng thông minh của Nemo. Chúng sau đó di chuyển số tiền này qua nhiều chuỗi để che dấu dấu vết, từ Sui sang Arbitrum và cuối cùng là Ethereum thông qua cầu nối của Circle. Hình thức rửa tiền đa chuỗi này đã trở thành đặc trưng phổ biến của các vụ khai thác DeFi và tiếp tục gây khó khăn cho các nhà điều tra.

Cách lỗ hổng hợp đồng thông minh tạo cơ hội cho khai thác DeFi

Nemo là một nền tảng giao dịch lợi suất, cho phép người dùng gửi tài sản và đặt vị thế dự đoán lãi suất vay sẽ tăng hay giảm. Trong DeFi, mọi hoạt động đều vận hành qua hợp đồng thông minh – các chương trình tự chạy. Sự tự động này mang lại hiệu quả nhưng cũng tiềm ẩn rủi ro. Chỉ một lỗi lập trình nhỏ cũng có thể gây thiệt hại lớn. Trong vụ này, hợp đồng thông minh chính là điểm yếu. Khi kẻ tấn công tìm ra lỗ hổng, việc rút tiền và che giấu qua các mạng lưới trở nên dễ dàng.

Quy mô của vụ khai thác này đáng lo ngại, nhưng xu hướng rộng hơn còn nghiêm trọng hơn. Các vụ khai thác DeFi đã chiếm khoảng 80% tổng thiệt hại crypto trong năm 2025. Hơn 2,17 tỷ USD đã bị đánh cắp trong năm nay, và mỗi tháng lại xuất hiện thêm các vụ mới. Riêng tháng 8, 163 triệu USD đã bị rút trong 16 vụ tấn công riêng lẻ. Ngay sau Nemo, Venus Protocol chịu thiệt hại 27 triệu USD và Bunni DEX mất 8,4 triệu USD. Đầu năm, Cetus Protocol trên Sui mất 260 triệu USD. Vụ ByBit 1,5 tỷ USD vẫn là lớn nhất, nhưng các vụ nhỏ lặp đi lặp lại cho thấy áp lực liên tục đối với mạng lưới.

Cầu nối đa chuỗi – mục tiêu chính trong các vụ khai thác DeFi

Cầu nối đa chuỗi cho phép người dùng chuyển tài sản giữa các blockchain khác nhau, rất tiện lợi nhưng cũng trở thành mục tiêu hấp dẫn cho hacker vì chứa lượng lớn tài sản. Tội phạm khai thác độ phức tạp của hệ sinh thái DeFi, di chuyển tài sản bị đánh cắp qua nhiều chuỗi để tránh bị phát hiện. Năm 2022, các vụ khai thác cầu nối chiếm 69% tổng số tiền bị đánh cắp, hơn 2 tỷ USD trong 13 vụ việc. Vụ Nemo cũng nằm trong xu hướng này, nhấn mạnh lý do cầu nối là mục tiêu giá trị cao.

Khi Cetus bị rút tiền đầu năm nay, token SUI giảm khoảng 5%. Thiệt hại từ Nemo nhỏ hơn nhưng các vụ lặp lại trên cùng mạng lưới làm gia tăng lo ngại. Nhiều người dùng hiện chia tài sản ra nhiều giao thức hoặc chỉ thử nghiệm với số tiền nhỏ, phản ánh sự thận trọng tăng lên.

Các biện pháp an ninh giúp ngăn chặn khai thác

Với các giao thức DeFi, bài học đã lặp đi lặp lại nhiều lần: kiểm toán kỹ lưỡng, chương trình thưởng lỗi, triển khai dần dần và bảo hiểm hacker không còn là tùy chọn. Tuy nhiên, áp lực đổi mới nhanh và thu hút người dùng thường khiến an ninh bị bỏ qua, và điều này đang rất tốn kém.

Ở mức ngành, phản ứng vẫn chậm. Các tiêu chuẩn bảo mật tốt hơn, công cụ giám sát thời gian thực và xác thực chính thức code đang được thảo luận. Cơ quan quản lý cũng giám sát chặt chẽ hơn khi thiệt hại tăng. Mỗi vụ khai thác DeFi càng củng cố lập luận cho giám sát chặt chẽ hơn, đồng thời tăng áp lực yêu cầu quy định. Các sản phẩm bảo hiểm cũng dự kiến mở rộng, vừa bảo vệ người dùng, vừa buộc giao thức đạt chuẩn an ninh tối thiểu để đủ điều kiện.

Cân bằng đổi mới và an ninh trong hệ sinh thái DeFi

DeFi mở ra cơ hội tài chính mới nhưng dựa vào hợp đồng thông minh đồng nghĩa với rủi ro mà tài chính truyền thống không có. Giá trị khóa trong DeFi vẫn khoảng 48 tỷ USD, cho thấy nhu cầu mạnh mẽ. Tuy nhiên, an ninh vẫn tụt lại phía sau đổi mới. Điều này càng chứng minh ngành cần giảm tốc, ưu tiên bảo mật và lấy lại niềm tin người dùng. Đổi mới không thể vượt qua lòng tin. Nếu nền tảng không vững chắc hơn, vụ khai thác tiếp theo không còn là “nếu” mà là “khi nào”.