Giao thức cho vay phi tập trung Silo Finance chịu thiệt hại do lỗi hợp đồng thông minh
Vào thứ 4 vừa qua, Silo Finance xác nhận một cuộc tấn công khai thác điểm yếu trong hợp đồng thông minh của nền tảng. Theo các báo cáo từ chuyên gia phân tích bảo mật, thiệt hại ước tính khoảng 545.000 USD, chủ yếu do lỗi trong hàm openLeveragePosition được kiểm soát bởi người dùng.
Công ty bảo mật blockchain PeckShield cho biết lỗi này nằm ở phần nhập dữ liệu do người dùng điều khiển, tạo điều kiện cho hacker khai thác hợp đồng không chính thống này.
We are aware of an ongoing security notification by our real-time risk monitoring partner @hypernativelabs.
Please rest assured that Silo’s core smart contracts, including markets and vaults, are not affected.
The scope is limited to a smart contract for automated leverage…
— Silo Labs (@SiloFinance) 25 tháng 6, 2025
Hợp đồng thử nghiệm không ảnh hưởng đến hạ tầng chính
Đội ngũ Silo Finance khẳng định rằng hợp đồng gặp sự cố không nằm trong cấu trúc chính của giao thức, mà chỉ là phiên bản thử nghiệm tính năng đòn bẩy tự động mới. Người dùng có thể an tâm vì các hợp đồng lõi như thị trường (Markets) và kho tiền (Vault) không bị ảnh hưởng.
Sau vụ việc, giá Token SILO đã giảm mạnh gần 11% trong vòng 24 giờ, chỉ còn khoảng 0,04035 USD, theo dữ liệu từ Coingecko.
Hacker khai thác qua Tornado Cash và hành vi rửa tiền tinh vi
Bước phân tích cho thấy số tiền đánh cắp đã được chuyển qua ví sử dụng Tornado Cash – dịch vụ trộn tiền điện tử nhằm che dấu dấu vết giao dịch. PeckShield phát hiện mã độc xuất hiện chỉ 3 phút 20 giây trước khi vụ khai thác xảy ra.
Earlier today, an audited contract for an unreleased leverage feature was exploited. This contract was for testing only.
Core contracts are safe – Markets and Vault. ✅
No user funds were lost, except for some Silo DAO’s funds, which were used to test the leverage feature.
We…
— Ayham (AJ) (@ayham_eth) 25 tháng 6, 2025
Silo Finance đã ngay lập tức đình chỉ hợp đồng gặp lỗi, đồng thời cam kết chỉ có quỹ của Silo DAO – tổ chức tự trị phi tập trung quản lý giao thức – là chịu thiệt hại, vì số tiền này dùng để thử nghiệm tính năng đòn bẩy mới.
Những hợp đồng liên quan đến tiền của người dùng vẫn an toàn tuyệt đối. Các trader SILO sau đó đồng loạt bán tháo hoặc điều chỉnh danh mục đầu tư, khiến chỉ số RSI trong 14 ngày giảm xuống dưới 36, báo hiệu Token đã vào trạng thái quá bán.
Kẻ khai thác Cork Protocol xuất hiện trở lại
Cùng ngày, các nhà điều tra bảo mật phát hiện hoạt động khả nghi từ địa chỉ liên kết với hacker đã từng đánh cắp khoảng 12 triệu USD từ Cork Protocol hồi tháng 5. PeckShield thông báo có chuyển khoản hơn 4.500 ETH (tương đương 11 triệu USD) được gửi đến Tornado Cash, nhằm rửa tiền.
#PeckShieldAlert #CorkProtocol Exploiter 2 – labeled address has transferred a total of 4,520 $ETH (worth ~$11M) to #TornadoCash & donated 10 $ETH to #Juicebox: Free Alexey & Roman (Tornado Cash developers’ legal fund) https://t.co/ITTET3M1Ak
— PeckShieldAlert (@PeckShieldAlert) 25 tháng 6, 2025
Đây là lần đầu tiên địa chỉ bị nghi ngờ di chuyển quỹ kể từ vụ tấn công ngày 28 tháng 5, kéo theo giảm 3.761 ETH staking wrapped (wstETH). Đội CertiK cũng xác nhận khoản tiền này đã được chuyển vào Tornado Cash sáng nay, nâng tổng giá trị lên khoảng 11,4 triệu USD.
