|
 Thuật ngữ VietnamBiz
Kinh doanh

Gần 3 tỷ USD tiền điện tử đã bị hacker đánh cắp

15:57 | 25/04/2022
Chia sẻ
Dù số lượng các vụ tấn công tiền số không tăng nhưng giá trị tiền ảo bị đánh cắp đang tăng mạnh, dù chưa đến giữa năm 2022.

 Tiền ảo trong các dự án DeFi ngày càng bị đánh cắp nhiều hơn. (Ảnh: The Fifth Skill).

Mới đây, một vụ trộm tiền ảo nữa đã lại diễn ra. Dự án tiền số có tên Beanstalk đã bị hacker tấn công và lấy đi số tiền ảo trị giá 182 triệu USD, theo Wall Street Journal. Nghiêm trọng hơn, toàn bộ số ether của dự án đã bị mất sau vụ tấn công.

Theo công ty dữ liệu CoinGecko, vụ tấn công đã khiến giá trị của stablecoin hay Bean, đã giảm xuống từ 1 USD xuống còn 10 cent. Gần đây nhất, nó được giao dịch ở mức 6 cent. Theo một bài đăng trên blog từ Beanstalk Farms, nhóm điều hành dự án, vụ tấn công đã mang về cho nhóm hacker khoảng 76 triệu USD.

Vụ tấn công Beanstalk là vụ trộm tiền điện tử lớn thứ 5 trong lịch sử, theo Rekt.news, trang chuyên theo dõi các vụ hack tiền điện tử. Trước Beanstalk, Axie Infinity, game tiền ảo do kì lân của Việt Nam, Sky Mavis phát triển cũng đã bị tấn công. Hôm 29/3, Ronin, nền tảng blockchain vận hành game tiền ảo Axie Infinity bất ngờ phát hiện bị hacker tấn công và lấy đi số tiền ảo trị giá hơn 600 triệu USD.

Vụ việc đã xảy ra hôm 23/3 và gần một tuần sau mới được phát hiện. Hacker đã tấn công vào Ronin Bridge với giá trị khoảng 173.600 Ether và 25,5 triệu giá trị token USDC bằng hai giao dịch.

Theo Rekt, dù số lượng vụ tấn công các dự án tiền ảo không tăng so với năm ngoái nhưng số tiền bị đánh cắp đang tăng lên. Kể từ tháng 8, đã có 37 vụ hack trong 38 tuần, số tiền thiệt hại rơi vào khoảng 2,9 tỷ USD tiền điện tử. Công ty phân tích Chainalysis cho biết con số này ngang bằng với 3,2 tỷ USD bị đánh cắp trong cả năm 2021.

Trong bối cảnh ngày càng có nhiều dự án DeFi (tài chính phi tập trung) ra đời, các tin tặc đang tìm cách khai thác những "mỏ vàng" này. Max Galka, CEO công ty pháp y tiền điện tử Elementus cho biết, tin tặc có xu hướng nhắm mục tiêu vào các giao thức mới chưa được kiểm tra và hiệu chỉnh đầy đủ.

Bản chất mã nguồn mở của các dự án DeFi là một lý do biến nó thành con mồi hấp dẫn đối với hacker. Chainalysis cho biết tin tặc có thể dành thời gian kiểm tra mã để tìm kiếm điểm yếu. Ngay cả những nền tảng đã kiểm tra mã vẫn có thể bị tấn công.

Công ty cho biết các giao thức DeFi cần có cách tiếp cận toàn diện hơn về bảo mật. Theo Chainalysis, hầu hết các vụ hack đều lợi dụng mã bị lỗi. Thực tế, cách mà tin tặc dùng để tấn công Beanstalk hoàn toàn không có gì mới. Giao thức Beanstalk đã sử dụng cái được gọi là DAO hoặc tổ chức tự trị phi tập trung.

Người dùng có thể dùng "cổ phần" của mình trong dự án để đổi lại một phiếu bầu trong hệ thống quản trị, điều giúp họ có thể tạo ra các thay đổi đối với giao thức. Theo công ty phân tích blockchain Elliptic, tin tặc đã vay khoảng 1 tỷ USD các loại stablecoin khác nhau, sử dụng một loại cho vay siêu ngắn hạn được gọi là flashloan và sau đó thêm số tiền đó vào quỹ của Beanstalk. Điều này đủ để mang lại cho họ một tỷ lệ quyền biểu quyết áp đảo. Tin tặc đề xuất quyên góp tiền cho Ukraine và bỏ phiếu thông qua ý tưởng này.

Tuy nhiên, đề xuất này gồm mã gửi tất cả số tiền bị khóa trong giao thức Beanstalk đến một ví do tin tặc kiểm soát, theo Elliptic. Sau khi lấy trộm tiền, chúng hoàn trả khoản vay và bỏ túi số tiền chênh lệch.

Trở trêu thay, ông Galka chỉ ra rằng tin tặc đang tuân theo các quy tắc đã nêu của Beanstalk. CEO Elementus cho rằng vấn đề của Beanstalk nằm ở chỗ không có một phương án dự phòng nào dành cho cá nhân tiếp quản cơ chế bỏ phiếu. “Mọi thứ hacker làm đều phù hợp với quy tắc,” ông Galka nói.

Publius, nhóm phát triển Beanstalk đã từ chối bình luận. Nhóm nhà phát triển đã cố gắng tập hợp và cố gắng xây dựng lại. Để làm như vậy sẽ yêu cầu bảo mật giao thức, tìm nguồn vốn mới để tài trợ, cũng như hoàn trả cho những người dùng bị mất tiền từ vụ hack.

Hiện số phận của khoản tiền bị đánh cắp vẫn chưa rõ. Các nhà phát triển Beanstalk đã đề nghị hacker trả lại tiền, đổi lại tin tặc có thể giữ 10%. Đây được xem là khoản bug bounty (tiền thưởng tìm lỗi - PV). Tuy nhiên, hacker vẫn chưa có phản hồi với đề nghị từ Publius.

Doanh Chính