Vụ hack 2,6 triệu USD gây chấn động
Ngày 7/9, nền tảng tài chính phi tập trung (DeFi) Nemo Protocol trên hệ Sui bị khai thác lỗ hổng bảo mật. Vụ việc được công ty an ninh on-chain PeckShield phát hiện, cho thấy kẻ tấn công đã lợi dụng lỗi code do một lập trình viên triển khai mà chưa qua kiểm toán. Hậu quả: 2,6 triệu USD bị rút khỏi các pool thanh khoản.
Ngay sau đó, Nemo buộc phải tạm dừng giao thức, đồng thời chụp lại toàn bộ dữ liệu on-chain để xác định thiệt hại của từng người dùng.
Giải pháp: Token nợ NEOM
Trong thông báo ngày 14/9, Nemo công bố kế hoạch bù đắp bằng cách phát hành NEOM – token nợ, tương ứng với khoản lỗ (tính theo USD) của từng người dùng. Nemo thừa nhận: “Chúng tôi muốn bồi hoàn trực tiếp bằng USD, nhưng không đủ vốn, nên token nợ là phương án khả thi nhất.”
Official Update:
— Nemo (@nemoprotocol) September 15, 2025
Following the September 8 security incident, Nemo Protocol has finalized a comprehensive compensation plan. We remain committed to transparency and accountability.
We are deeply grateful to our community and partners for their trust and support, and we will… pic.twitter.com/OWDIG5PSyA
Bài đăng chính thức trên X của Nemo Protocol về cách xử lý khủng hoảng. Nguồn @nemoprotocol
NEOM sẽ được phân phối qua một cổng riêng, nơi người dùng có thể di chuyển tài sản còn lại từ các pool cũ sang hợp đồng mới đã được kiểm toán.
Cơ chế bù đắp và lựa chọn cho người dùng
Người nắm giữ NEOM sẽ có hai lối đi rõ ràng. Lối thứ nhất là thoát ngay: Bạn có thể bán NEOM qua một pool thanh khoản ban đầu (ghép cặp với USDC) trên một sàn phi tập trung lớn của hệ Sui. Như vậy, người dùng đổi NEOM lấy USDC tức thì — nhưng thực tế họ thu về bao nhiêu sẽ phụ thuộc vào độ sâu thanh khoản của pool và giá thị trường tại thời điểm đó.
Lối thứ hai là chờ phục hồi: Giữ NEOM trong ví và đợi quỹ bồi hoàn trả dần. Khi quỹ có tiền, những người giữ NEOM sẽ được chia lại khoản tiền theo tỷ lệ sở hữu — tức là ai giữ nhiều NEOM thì được phần nhiều hơn.
Quỹ bồi hoàn gồm hai nguồn chính: Toàn bộ số tiền thu hồi được từ hacker và một phần nguồn vốn vay thanh khoản cùng các khoản đầu tư chiến lược mà dự án cam kết đóng góp. Nói ngắn gọn: Nếu dự án thu hồi được tiền hoặc huy động thêm nguồn lực, những khoản đó sẽ được đưa vào quỹ để lần lượt hoàn trả cho chủ NEOM.
Cam kết minh bạch
Để tạo niềm tin, Nemo khẳng định sẽ lập website theo dõi công khai tiến trình burn NEOM, giúp cộng đồng giám sát việc trả nợ.
Ngoài ra, dự án cũng đang phối hợp cùng các đội ngũ an ninh trên Sui nhằm truy vết dòng tiền. Theo báo cáo, số tiền bị đánh cắp đã được chuyển từ Sui sang Ethereum thông qua Wormhole CCTP. Nemo còn đề cập khả năng xây dựng khung thỏa thuận “mũ trắng” và chương trình bounty để khuyến khích hacker hoàn trả tiền.
Kết luận: Bài kiểm tra niềm tin
Vụ việc là một cú sốc với cộng đồng Sui, nhưng cũng là phép thử cho sự minh bạch và khả năng hồi phục của Nemo. Nếu kế hoạch thành công, NEOM có thể trở thành một mô hình tham chiếu mới cho việc xử lý hậu quả các vụ hack trong DeFi – nơi “niềm tin” và “minh bạch” quyết định sống còn.
