Đôi khi, mối đe dọa chết người nhất ẩn náu ở những nơi ít ai để ý.

Sàn giao dịch phi tập trung quy mô lớn nhất trên chuỗi Sui đã trải qua một sự kiện an ninh được gọi là thảm họa - tin tặc đã lợi dụng một lỗ hổng mã để cuỗm 230 triệu đô la Mỹ từ quỹ. Giá trị của đoạn mã này, bằng mọi cách, không thể tránh khỏi cái giá 1,6 tỷ.

Nguồn gốc của vấn đề thực sự rất kín đáo. Tin tặc đã kích hoạt một loạt phản ứng dây chuyền thông qua các tham số đầu vào được thiết kế tinh vi: đầu tiên làm cho điều kiện n<=mask trở thành đúng, khiến luồng thực thi vào dòng 23; sau đó đảm bảo n≥2^192, khi thực hiện thao tác dịch trái n<<64, toàn bộ giá trị ngay lập tức vượt qua ranh giới của u256. Kết quả là hàm đã trả về một giá trị hoàn toàn ngoài dự kiến, tin tặc do đó đã có được quyền thao túng tài sản.

Toàn bộ quá trình tấn công tinh vi đến mức đáng kinh ngạc — đây không phải là bẻ khóa bằng sức mạnh, mà là sự hiểu biết sâu sắc về ranh giới của giao thức. Hacker dường như đã tính toán chính xác từng tham số, như thể họ đã tìm ra điểm tới hạn chí mạng trong một trò chơi toán học độ chính xác cao.

May mắn thay, đội ngũ chính thức đã nhanh chóng xác định và khắc phục lỗ hổng này. Tuy nhiên, bài học từ sự kiện này vẫn còn rõ ràng: Trong lĩnh vực blockchain, bất kỳ khiếm khuyết mã nào nhỏ, khi được nhân với số vốn đủ lớn, đều có thể trở thành một thảm họa tài chính. Đối với bất kỳ giao thức nào hoạt động trên chuỗi, tầm quan trọng của kiểm toán mã đã vượt xa khái niệm "thực tiễn tốt nhất" - nó chính là điều kiện sống còn.