SEI Chain gặp lỗ hổng về vay nặng lãi nhanh: Vi phạm hợp đồng Synnax tiết lộ lối tấn công mới

Các cuộc tấn công vay nặng lãi nhanh chóng tiếp tục gây rối hệ sinh thái DeFi, và chuỗi SEI đã trở thành nạn nhân mới nhất. Tuy nhiên, sự cố bảo mật gần đây của hợp đồng Synnax tiết lộ một mối đe dọa tinh vi — đôi khi lỗ hổng lớn nhất không nằm ở mã nguồn, mà ở cách người dùng tương tác với nó.

Phân tích vụ tấn công

Theo phát hiện của BlockSec Phalcon, một kẻ tấn công đã lợi dụng cơ chế vay nặng lãi nhanh để rút ra 1,96 triệu token WSEI từ hợp đồng Synnax, tương đương khoảng 240.000 đô la giá trị. Điều đặc biệt đáng chú ý của vụ việc này là kẻ tấn công không có ý định hoàn trả số tiền vay, thay vào đó thực hiện rút sạch vốn hoàn toàn thay vì một cuộc tấn công vay nhanh dựa trên arbitrage thông thường.

Chất xúc tác bất ngờ

Tuy nhiên, câu chuyện thực sự bắt đầu từ ba khối trước đó. Một địa chỉ (0x9748…a714) vô tình chuyển một lượng lớn tiền trực tiếp vào hợp đồng qua một lỗi của người dùng. Giao dịch này đã vô tình nạp sẵn vốn vào hợp đồng Synnax để thực hiện cuộc tấn công vay nặng lãi sau đó. Sự cố này làm nổi bật một mẫu hình quan trọng: lỗi của người dùng có thể trở thành yếu tố tạo điều kiện cho cuộc tấn công.

Chuỗi tấn công và các hiểu biết kỹ thuật

Vụ khai thác được thực hiện qua hai giao dịch chính (TX1 và TX2), thể hiện cách các kẻ tấn công liên kết các thao tác để tối đa hóa hiệu quả rút vốn. Các giao dịch này diễn ra theo một chuỗi phối hợp, để lại rất ít khả năng phát hiện hoặc can thiệp.

Những tác động rủi ro rộng hơn

Sự cố chuỗi SEI này nhắc nhở rằng an ninh DeFi không chỉ dựa vào kiểm toán hợp đồng thông minh. Các sai sót trong vận hành chuỗi — dù là chuyển tiền vô tình hay thiết lập tham số không đúng — có thể tạo ra các lỗ hổng tấn công bất ngờ mà các cuộc đánh giá an ninh có thể bỏ qua. Khi hệ sinh thái trưởng thành hơn, việc bảo vệ chống lại cả lỗ hổng mã nguồn lẫn lỗi vận hành trở nên quan trọng ngang nhau.