Scallop bị khai thác, rút 150.000 SUI: Thanh khoản cốt lõi ra sao?

Một lỗ hổng ở module cũ của Scallop đã khiến khoảng 150.000 SUI bị rút khỏi rewards pool trên Sui, nhưng tác động được khoanh vùng trong một lớp hợp đồng phụ chứ không lan vào hạ tầng lõi.

Scallop đã khóa hợp đồng bị ảnh hưởng để chặn mất mát tiếp tục, trong khi các pool chính vẫn hoạt động bình thường. Diễn biến này cho thấy rủi ro của giao thức không chỉ nằm ở phần lõi đã được chú ý nhiều hơn, mà còn có thể đến từ các nhánh hợp đồng ít được sử dụng.

Lỗi ở hợp đồng V2 cũ khiến phần thưởng bị tính sai

Vụ khai thác xuất phát từ một đường đi cũ trong smart contract. Một hợp đồng V2 không đặt giá trị last_index cho người dùng khi staking, khiến hệ thống tính phần thưởng từ thời điểm rất sớm thay vì từ lúc người dùng thực sự gửi tài sản vào.

Hệ quả là khi chỉ số spool đã tăng lên khoảng 1,19 tỷ, khoản stake 136.000 sSUI của kẻ khai thác được khuếch đại nhanh chóng. Phần thưởng phình lên khoảng 150.000 SUI rồi được chuyển về một ví duy nhất, đúng với mức thất thoát đã ghi nhận ban đầu.

Khoanh vùng thiệt hại nhờ cấu trúc mô-đun

Điểm đáng chú ý trong sự cố này là phần bị ảnh hưởng không nằm ở lõi của giao thức. Core pools vẫn nguyên vẹn, nên thiệt hại dừng lại ở một contract lớp phụ thay vì lan sang toàn bộ hệ thống.

Cách phản ứng nhanh này giúp hạn chế nguy cơ rút thanh khoản dây chuyền trên hệ sinh thái liên quan. Scallop cũng cho biết sẽ bù 100% phần mất mát, yếu tố góp phần ổn định tâm lý người dùng ngay sau sự cố.

TVL giữ gần 22,37 triệu USD sau sự cố

Sau khi hệ thống được đưa về trạng thái ổn định, tổng giá trị khóa (TVL) của Scallop vẫn quanh mức 22,37 triệu USD. Việc TVL không giảm mạnh cho thấy chưa có làn sóng rút vốn ngay lập tức sau vụ khai thác.

Tuy vậy, sự ổn định hiện tại chưa loại bỏ hoàn toàn rủi ro tâm lý. Với các giao thức DeFi, niềm tin thường phụ thuộc nhiều vào việc dòng tiền có tiếp tục đứng vững sau sự cố hay không, nhất là khi lỗ hổng nằm ở một module đã cũ nhưng vẫn còn khả năng tác động nếu bị bỏ sót.

Tổng kết

Sự cố của Scallop cho thấy một lỗ hổng nằm ở contract phụ vẫn có thể tạo ra thiệt hại đáng kể, dù hạ tầng lõi không bị ảnh hưởng. Việc khóa hợp đồng bị lỗi, bù 100% phần mất mát và giữ TVL gần như ổn định là lý do thị trường chưa ghi nhận phản ứng quá mạnh.

Điểm cần theo dõi tiếp theo là liệu dòng tiền có duy trì ổn định hay không, vì niềm tin với các giao thức DeFi thường bị thử thách mạnh nhất sau khi một đường dẫn cũ bị phát hiện và khai thác.