Những vụ hack khổng lồ xói mòn niềm tin vào nhiều dự án tiền ảo
Theo New York Times, không lâu sau khi nghỉ học đại học để theo đuổi sự nghiệp ở mảng tiền mã hoá, Ben Weintraub đối mặt với nhiều tin xấu.
Weintraub và 2 người bạn tại Đại học Chicago đã dành vài tháng gần đây để phát triển một nền tảng phần mềm gọi là Beanstalk để cung cấp stablecoin (loại tiền mã hoá có giá trị cố định là 1 USD). Điều khiến họ ngạc nhiên là Beanstalk trở thành một hiện tượng chỉ sau một đêm. Nhiều người ủng hộ tiền mã hoá cho rằng Beanstalk là một đóng góp thú vị đối với lĩnh vực tài chính phi tập trung (DeFi).
Và rồi nó sụp đổ. Hồi tháng 4, một hacker khai thác điểm yếu trong thiết kế của Beanstalk để lấy đi hơn 180 triệu USD từ người dùng. Đây là một trong số rất nhiều vụ hack nhắm vào các dự án DeFi trong năm nay.
Hacker đã “có mặt” trong ngành công nghiệp tiền mã hoá trong nhiều năm trở lại đây. Dù vậy, sự nở rộng của các startup DeFi như Beanstalk đã tạo ra một mối đe doạ mới.
Các dự án được quản lý lỏng lẻo như Beanstalk cho phép người dùng vay, cho vay và thực hiện nhiều giao dịch khác mà không cần đến ngân hàng hay các bên thứ 3. Các giao dịch này dựa vào một hệ thống được quản lý bởi các đoạn mã lập trình.
Sử dụng phần mềm DeFi, các nhà đầu tư có thể vay tiền mà không cần để lộ danh tính hay thậm chí không cần kiểm tra điểm tín dụng. Phát triển mạnh mẽ vào năm ngoái, các dự án DeFi được không ít người nhìn nhận như tương lai của ngành tài chính. Người dùng tiền mã hoá đã để gần 100 tỷ USD giá trị tiền mã hoá vào hàng trăm dự án DeFi.
Dù vậy, một số phần mềm lại được phát triển với những đoạn mã lập trình có lỗi. Năm nay, 2,2 tỷ USD tiền mã hoá đã bị trộm khỏi các dự án DeFi, theo Chainalysis. Con số này khiến 2022 có thể là năm mất mát vì các vụ hack tồi tệ nhất của ngành công nghiệp mã hoá.
Nhiều vụ trộm xuất phát từ các điểm yếu trong phần mềm máy tính – còn được biết đến với tên gọi “hợp đồng thông minh” – vận hành DeFi. Các chương trình này thường được phát triển một cách rất vội vàng.
Và bởi vì hợp đồng thông minh dùng mã nguồn mở (với một kiến trúc phần mềm có thể xem được công khai), các hacker có thể vạch ra một đợt tấn công trên hạ tầng số của chính phần mềm, thay vì tấn công trực tiếp vào tài khoản của ai đó. Đây là sự khác biệt giữa việc lấy tiền của một cá nhân và lấy đi toàn bộ tiền của một dự án.
“DeFi mang đến một mức độ mới trong đó hacker có thể tiếp cận được nền tảng”, Erin Plante, phó chủ tịch điều tra tại Chainalysis, nói. “Nó mang đến nhiều áp lực tới mảng này và hạn chế những sáng tạo khả thi”.
Các vụ tấn công cũng bào mòn niềm tin dành cho DeFi đặc biệt là trong bối cảnh thị trường tiền mã hoá nói chung cũng rất u ám.
Thực tế, việc theo dõi tiền mã hoá bị lấy cắp khá đơn giản. Các giao dịch đều được ghi nhận trên một sổ cái trực tuyến (blockchain). Tuy nhiên, việc đòi lại tiền thì khó hơn rất nhiều.
Các vụ hack đã gióng lên hồi chuông cảnh tính và khiến nhiều startup DeFi bắt đầu nghiên cứu các biện pháp phòng tránh đồng thời thuê các đơn vị kiểm toán để tìm điểm yếu trong các đoạn mã lập trình.
Từ những ngày đầu của tiền mã hoá, các công ty đã đau đầu với vấn đề an ninh. Năm 2014, sàn giao dịch bitcoin lớn đầu tiên là Mt. Gox đã bị tấn công. Vụ việc khiến Mt.Gox phá sản và thiệt hại hàng tỷ USD giá trị tiền mã hoá.
Thời điểm đó, ngành công nghiệp tiền mã hoá còn khá nhỏ và đơn giản. Đến nay, hacker có thể tấn công một hệ sinh thái rộng hơn, trong đó có các dự án game, các dự án cho vay phi tập trung và các đồng tiền mới nổi. Năm ngoái, một hacker đã lấy trộm 600 triệu USD từ nền tảng DeFi Poly Network. Hacker sau đó đã trả lại tiền sau khi đạt được thoả thuận với lãnh đạo dư án này.
Các vụ hack của năm nay mang đến thiệt hại lớn hơn, theo NYTimes. Ronin Network, nền tảng DeFi đứng sau Axie Infinity, bị lấy trộm 620 triệu USD giá trị tiền mã hoá hồi tháng 3. Trong khi đó, dự án DeFi Wormhole bị lấy mất 320 triệu USD.
Vụ hack Wormhole tận dụng điểm yếu của một công nghệ gọi là cross-chain bridge, trong đó cho phép các nhà đầu tư chuyển qua lại giữa các đồng tiền mã hoá được phát triển trên các blockchain khác nhau. Tổng cộng 10 vụ hack trong năm nay liên quan đến cross-chain bridge với thiệt hại 1,3 tỷ USD, theo Chainalysis.
Công nghệ này “có tính phức tạp cao và phức tạp là kẻ thù của bảo mật”, Steve Walbroehl, người sáng lập công ty bảo mật mã hoá Halborn, nói.
Beanstalk không dùng cross-chain bridge song nó lại có các điểm yếu riêng.
Hoạt động bên trong của dự án này mù mờ một cách hài hước. Sách trắng của dự án có 61 trang toàn biểu đồ và các công thức toán học. Về cơ bản, Beanstalk cho phép người dùng nộp hàng chục triệu USD tiền ảo vào hệ thống phần mềm. Hệ thống này có thể sinh lãi suất và giúp duy trì giá trị một đồng tiền stablecoin có tên bean.
Dự án cũng không hoạt động như một startup truyền thống. Giống nhiều nhà sáng lập mã hoá khác, Weintraub và các cộng sự - Brendan Sanderson (25 tuổi) và Michael Montoya (24 tuổi) – không để lộ danh tính. Khi phần mềm được ra mắt vào tháng 8/2021, người dùng gửi tiền sẽ có phiếu bầu trong một nhóm nhà đầu tư gọi là DAO (tổ chức tự trị phi tập trung). DAO có thể đồng thuận để thay đổi phần mềm.
Hồi tháng 4, một hacker đã mượn 1 tỷ USD tiền mã hoá từ một dự án DeFi khác là Aave. Giao dịch này được gọi là một khoản vay nhanh, trong đó người vay sẽ vay tiền mà không cần dùng tài sản đảm bảo, thực hiện giao dịc và sau đó trả nợ ngay.
Mã lập trình của Beanstalk đã không có cơ chế chặn ai đó dùng các khoản vay nhanh để chiếm nền tảng. Hacker đã dùng 1 tỷ USD để chiếm cổ phần lớn trong Beanstalk DAO và từ đó chiếm quyền điều hành phền mềm. Sau đó, hacker đã chuyển hết tiền của mọi người, tổng gần 200 triệu USD, ra ngoài hệ thống.
Một số người nghi ngờ Weintraub và những người sáng lập có thể đứng sau vụ việc.
Cuối cùng, anh và những người sáng lập còn lại đã quyết định tiếp tục dự án. Họ báo cáo vụ trộm tới FBI và tổ chức thảo luận với những người ủng hộ Beanstalk để tìm hướng phát triển. Hồi tháng 4, nhóm sáng lập lần đầu lộ diện.
“Chúng tôi luôn cố gắng minh bạch với cộng đồng rằng đây là một thử nghiệm”, Weintraub nói. “Chúng ta đều đang cùng nhau tìm cách giải quyết”, anh nói thêm.