Giao thức cho vay trên Hyperliquid bị tấn công nghiêm trọng, kẻ tấn công chiếm đoạt 673.000 USDT0 và 110.244 thBILL từ hai pool chính của nền tảng.
Hyperdrive, một giao thức cho vay xây dựng trên mạng Hyperliquid, đã trở thành nạn nhân của một vụ khai thác lỗ hổng hợp đồng thông minh nghiêm trọng vào tối thứ Bảy, dẫn đến thiệt hại khoảng 782.000 USD. Đây là sự cố bảo mật đáng chú ý thứ ba ảnh hưởng đến hệ sinh thái của mạng Layer 1 phổ biến này kể từ khi ra mắt cuối tháng 11/2024.
Kẻ tấn công đã thực hiện cuộc tấn công có chủ đích, rút cạn hai pool quan trọng của Hyperdrive gồm Primary USDT0 Market và Treasury USDT Market. Trong vụ tấn công này, hacker đã chiếm đoạt khoảng 673.000 USDT0 stablecoin và 110.244 thBILL với tổng giá trị ước tính 782.000 USD. Sau khi thành công, số tiền bị đánh cắp được nhanh chóng chuyển đổi thành các tài sản cross-chain như BNB và ETH trước khi được rút ra khỏi hệ thống.
Mặc dù Hyperdrive chưa công bố báo cáo postmortem chi tiết về sự cố, công ty an ninh blockchain Certik đã phân tích rằng kẻ tấn công đã “liên tục khai thác lệnh gọi tuỳ ý trong router” để rút tiền. Điều này cho thấy một hợp đồng thông minh thiếu an toàn có nhiều khả năng là nguyên nhân gốc rễ của vụ tấn công. Đội ngũ Hyperdrive đã phản ứng nhanh chóng bằng cách tạm dừng giao thức ngay sau vụ tấn công để ngăn chặn thiệt hại lan rộng hơn.
Cam kết bồi thường và phục hồi hoạt động
Trong bản cập nhật được đăng tải vào Chủ nhật trên nền tảng X, nhóm Hyperdrive khẳng định đã xác định được nguyên nhân gốc rễ và hoàn tất việc khắc phục sự cố. Họ cũng cho biết đã xác định các tài khoản bị ảnh hưởng và cam kết sẽ sớm triển khai kế hoạch bồi thường cho những người dùng bị thiệt hại. Tuy nhiên, chi tiết cụ thể về kế hoạch bồi thường vẫn chưa được công bố, và The Block cho biết không thể liên lạc ngay với dự án để được làm rõ thêm.
Theo dữ liệu từ DefiLlama, Hyperdrive hiện đang quản lý khoảng 21 triệu USD tổng giá trị khóa (TVL) trên nền tảng, cho thấy quy mô đáng kể của giao thức này trong hệ sinh thái DeFi. Vụ khai thác lần này tiếp tục củng cố lo ngại về tình trạng bảo mật trong hệ sinh thái Hyperliquid, sau hai sự cố nghiêm trọng trước đó.
Trước đó vào tháng 3/2025, một “cá voi” đã thao túng giá on-chain của memecoin Solana JELLYJELLY, gây ra khoản lỗ 12 triệu USD cho giao thức. Ngoài ra, một sự kiện thao túng khác cũng đã khiến một vault của Hyperliquid mất 4 triệu USD, cho thấy những thách thức bảo mật đang đối mặt với các giao thức xây dựng trên mạng này.
