Allinstation Dạo thời gian gần đây, chắc hẳn anh em cũng đã nghe đến các tin tức về những vụ hack vào các nền tảng, cướp đi lượng tài sản rất lớn, lên đến hàng chục hay hàng trăm triệu USD, đơn cử là vụ hack cầu nối Ronin của Axie Infinity vào cuối tháng 3 vừa qua với tổng thiệt hại lên tới hơn 600 triệu USD.
Trước vụ hack của cầu nối Ronin, chúng ta đã chứng kiến rất nhiều nền tảng khác cũng đã bị các hacker khai thác lỗ hổng và chiếm đoạt tài sản, gộp lại hơn 1 tỷ USD số lượng tiền điện tử bị chiếm đoạt chỉ tính từ đầu năm 2022 đến nay. Thực tế thì trong không gian Crypto, vấn đề bị hack và đánh cắp tài sản xảy ra rất nhiều, quy mô của những vụ hack này khác nhau tùy thuộc vào mức độ nghiêm trọng của sơ hở và tính chất vụ hack.
Trong bài viết này, Allinstation sẽ cung cấp thông tin về những vụ hack đã xảy ra để từ đó rút ra một số kết luận và bài học kinh nghiệm nhé!
Tổng quan các vụ hack Crypto
Khi nhìn lại những vụ hack Crypto nghiêm trọng nhất, ta có thể thấy những vụ hack lớn nhất được xảy ra vào giai đoạn 2021-2022 với quy mô vụ hack ngày càng lớn. Các dự án bị hack thuộc 3 phân loại chính: Các dự án DeFi, các sàn giao dịch và các dự án có cầu nối xuyên chuỗi sang các hệ sinh thái khác nhau.
Điều này một phần được lý giải là do theo thời gian, vốn hóa thị trường Crypto gia tăng, những dự án phát triển cũng có vốn hóa phình to theo thời gian dẫn đến giá trị lượng tài sản được đánh cắp cũng lớn hơn. Trong quá khứ, đã có những vụ hack như vụ hack sàn giao dịch Mt.Gox vào đầu năm 2014, lượng BTC trị giá $460M tại thời điểm đó có giá chỉ $621 trên tổng cộng 740.000 BTC bị hack, tương ứng với hơn $29,6B tại thời điểm hiện tại. Hay vụ hack sàn Bitfinex vào tháng 8/2016 đã đánh cắp 119,756 BTC, tương ứng với hơn $72M tại thời điểm đó và ~ $4,8B vào thời điểm hiện tại. Nếu BTC được lấy cắp từ những vụ hack đó được sử dụng tại thời điểm hiện tại thì anh em có thể thấy lượng tàii sản có giá trị vô cùng lớn mà các hackers có thể sử dụng.
Các sàn giao dịch (exchange) là một con mồi béo bở của các hackers. Do đó, các sàn giao dịch hiện nay đã ngày càng đề cao cảnh giác, số lượng các sàn bị hack ít hơn và thiệt hại cũng nhỏ hơn. Bên cạnh đó, các dự án DeFi với smart contract lỏng lẻo, tồn tại bug hay các dự án fork của các dự án nổi bật cũng có thể trở thành nạn nhân của các hackers.
Tuy nhiên, thời gian gần đây, các vụ hack nhắm vào các dự án có cầu nối xuyên chuỗi ngày càng phổ biến với lượng tài sản bị đánh cắp vô cùng lớn. Vào tháng 01/2022, nnhà sáng lập Ethereum Vitalik Buterin đã lên tiếng cảnh báo về những rủi ro tiềm tàng khi sử dụng các giải pháp “cầu nối” cross-chain nhằm di chuyển token giữa những blockchain khác nhau.
My argument for why the future will be *multi-chain*, but it will not be *cross-chain*: there are fundamental limits to the security of bridges that hop across multiple "zones of sovereignty". From https://t.co/3g1GUvuA3A: pic.twitter.com/tEYz8vb59b
— vitalik.eth (@VitalikButerin) January 7, 2022
“Lập trường của tôi rằng tương lai của thị trường blockchain sẽ là đa chuỗi chứ không phải xuyên chuỗi. Có những giới hạn cơ bản đối với an ninh của những cây cầu bắc qua nhiều “vùng chủ quyền”.
Điểm qua một vài vụ hack vào các cầu nối cross-chain gần đây
Những vụ hack liên tiếp nhắm vào các dự án xuyên chuỗi đã thể hiện sự đúng đắn trong quan điểm của ông. Chỉ trong năm 2022, đã có 3 cuộc tấn công lớn xảy ra trên các giao thức cầu nối xuyên chuỗi.
Để dễ dàng hiểu hơn về những sự cố này, chúng ta cần biết các cầu nối là gì và cách hoạt động của chúng. Một cách ngắn gọn là, những cầu nối này có thể di chuyển tài sản từ Blockchain này sang một Blockchain khác. Một giao dịch cross-chain sẽ hoạt động như sau:
- Người dùng “ký gửi” token vào một “hợp đồng cầu nối” trên một chuỗi và tạo bằng chứng xác định các thông tin xuyên chuỗi được yêu cầu (ví dụ: số lương token được rút và địa chỉ người nhận).
- Cầu nối sẽ xác minh bằng chứng và ở trên chuỗi mục tiêu (nơi người dùng muốn chuyển các token đến đó), người dùng có thể “rút” các token khỏi “hợp đồng cầu nối”.
Trong ba sự cố gần đây, những kẻ tấn công đã đưa vào dữ liệu giả mạo, bỏ qua khâu xác minh và rút các token tương ứng trên chuỗi mục tiêu đến một địa chỉ được chỉ định.
Vụ hack Qubit Bridge
Các hacker đã bỏ qua quy trình xác minh bằng cách lách khỏi “hợp đồng cầu nối”, về cơ bản cung cấp bằng chứng về các token không tồn tại cho cầu nối. Điều này cho phép kẻ tấn công truy cập trực tiếp vào quỹ của giao thức này mà không cần gửi vào bất kỳ tài sản thực nào. Nguyên nhân sâu xa của vấn đề này bắt nguồn từ thực tế là các khoản tiền gửi ETH và ERC-20 có cùng một bằng chứng về sự kiện.
Vụ hack Meter.io Bridge
Vụ tấn công này có cách thức khá giống vụ hack của Qubit Bridge, lách khỏi “hợp đồng cầu nối”, tạo ra bằng chứng giả để hacker có thể rút các token trên một chuỗi khác.
Vụ hack Wormhole Bridge
Trên Solana, kẻ tấn công đã bỏ qua quy trình “xác minh chữ ký” nhờ một hàm chưa được cập nhật lại trên hợp đồng, cho phép kẻ tấn công đưa vào các dữ liệu độc hại và từ đó tạo ra một thông điệp giả để đúc Ether được bọc bởi Wormhole ($weWETH).
Allinstation chỉ tóm lược lại phần nào cách thức mà các vụ tấn công xảy ra, để tìm hiểu cụ thể về những vụ hack này, anh em có thể tìm kiếm trên đây nhé!
Sự lo ngại về bảo mật dành cho các giao thức cầu nối cross-chain
Là một công cụ quan trọng để dòng tiền có thể luân chuyển giữa các hệ sinh thái và giúp các hệ sinh thái song hành và phát triển, các vụ tấn công gần đây đã dấy lên lo ngại về sự an toàn của các giao thức này. Mặc dù các vụ tấn công ở trên xảy ra do những lỗ hổng bảo mật tồn tại trong hợp đồng thông minh bị khai thác, các giao thức cầu nối cross-chain cũng tồn tại những hạn chế về mặt bản chất trong thế giới Blockchain.
Quay lại cảnh báo của nhà sáng lập Ethereum ở trên, Vitalik Buterin, đã cảnh báo về những “giới hạn bảo mật cơ bản” mà các giao thức cầu nối cross-chain đang sở hữu. Vitalik tập trung bàn về những mối lo ngại về sự bảo mật của các giao thức cầu nối trong trường hợp diễn ra các cuộc tấn công 51% trên các Blockchain.
Xem tại đây https://old.reddit.com/r/ethereum/comments/rwojtk/ama_we_are_the_efs_research_team_pt_7_07_january/hrngyk8/
Ví dụ: nếu người dùng chuyển 100 ETH vào một cầu nối trên Solana để nhận lại 100 Solana-WETH và sau đó Ethereum bị tấn công 51%. Kẻ tấn công có thể gửi ETH vào để đổi sang Solana-WETH ở bên Ethereum trước tiên, sau đó chờ đến khi phía Solana xác nhận giao dịch này thì kẻ tấn công sẽ thực hiện đảo ngược lại giao dịch gửi ETH ban đầu. Vậy là hợp đồng Solana-WETH không còn được bảo đảm bởi 100% tài sản và lượng 100 Solana-WETH ban đầu của người dùng chỉ còn đáng giá 60 ETH.
Bởi vì khi một khối thời gian trên Blockchain được khôi phục lại, tất cả các hệ thống phụ thuộc vào tính bảo mật của chuỗi đó cũng sẽ đảo ngược, tuy nhiên thì ở bên chuỗi đích thì không. Do đó, khi tạo các cầu nối xuyên chuỗi, các nhà phát triển phải giả định một hệ thống đồng thuận mới sẽ theo dõi và hành động khi thực hiện đảo ngược. Vì những lý do này, Vitalik anh rất lạc quan về một tương lai dành cho multi-chain chứ không phải dành cho các ứng dụng cross-chain.
Ngoài những rủi ro trên, các giao thức cầu nối cũng cho thấy rằng chúng dễ bị tổn hại bởi những vấn đề khác. Vào năm ngoái, cầu nối Optics trên mạng lưới Celo đã không thể hoạt động một thời gian sau khi nhóm phát triển cầu nối của họ mất quyền kiểm soát dự án.
Bài học kinh nghiêm từ các vụ hack nhắm vào dự án cross-chain
Hiện tại đã có rất nhiều vụ tấn công vào các giao thức cầu nối cross-chain, mặc dù đều là do việc khai thác lỗ hổng trong hợp đồng thông minh nhưng sự khai thác này sẽ tiếp tục tồn tại chừng nào khái niệm hợp đồng thông minh còn tồn tại. Hơn nữa là, các hoạt động cross-chain thường chống lại hiệu ứng mạng (network effect). Trong khi không có nhiều chuyện xảy ra, chúng khá an toàn, nhưng khi hoạt động cross-chain gia tăng, lượng quỹ của các cầu nối có giá trị cao hơn, rủi ro càng tăng lên vì những hacker sẽ có thêm động lực để thực hiện các cuộc tấn công.
Việc mà các giao thức cầu nối này cần làm đó là phải liên tục duy trì và nâng cấp bảo mật trong các hợp đồng thông minh mà họ đã triển khai, có những khoản bảo hiểm để người dùng không phải lo ngại rằng tài sản của họ có thể bị mất trắng, hoặc nghiên cứu được những giải pháp thay thế đổi mới hơn. Nếu không, các giao thức này sẽ không còn giữ được chỗ đứng trong không gian Crypto và sẽ bị đào thải, thay thế bằng một thế giới Multi-chain với các ứng dụng được triển khai đa chuỗi, không còn cần đến sự xuất hiện của các cầu nối nữa.
Tổng kết
Theo sự phát triển và trưởng hành của thị trường Crypto, các vụ hack diễn ra với quy mô ngày càng tăng, lượng tài sản thiệt hại cũng lớn hơn. Khi các chiêu trò hack cũ được phát hiện và ngăn chặn, các phương thức hack mới cũng xuất hiện, nhắm vào các dự án thuộc thể loại mới để thu lợi khoản lợi nhuận khổng lồ cho các hackers. Khi một dự án bị hack tài sản, người dùng cũng sẽ bị liên đới: giá token dự án tụt, dự án không có khả năng bồi thường tổn thất,..
Hy vọng Allinstation đã cung cấp cho anh em những thông tin bổ ích, anh em hãy đón chờ những bài viết mới từ Allinstation nhé!