Tìm hiểu vụ trộm tiền điện tử trị giá 10 triệu USD xảy ra trên cầu nối chuỗi chéo của Poly Network. Nắm rõ các điểm yếu về bảo mật, phương thức tấn công cũng như giải pháp bảo vệ tài sản tiền điện tử khỏi những sự cố DeFi tương tự.
Một hacker tinh vi đã khai thác hạ tầng của Poly Network trong sự cố gần đây, rút thành công gần 10 triệu USD ETH theo tiết lộ từ công ty bảo mật Beosin. Vụ tấn công này tiếp tục là thách thức lớn đối với vấn đề bảo mật cầu nối chuỗi chéo trong hệ sinh thái tài chính phi tập trung.
Đầu tháng 7, Poly Network xác nhận trên mạng xã hội rằng nền tảng này vừa trở thành nạn nhân của một cuộc tấn công DeFi, khi lỗ hổng bảo mật cho phép kẻ tấn công tạo ra lượng mã thông báo tiền điện tử trị giá tới 34 tỷ USD. Quy mô của vụ việc đã nhấn mạnh rủi ro bảo mật nghiêm trọng vốn tồn tại trong các giao thức cầu nối chuỗi chéo.
Hoạt động như một cầu nối chuỗi chéo hỗ trợ chuyển đổi tài sản giữa các mạng blockchain khác nhau, Poly Network đã thông báo tạm ngừng dịch vụ ngay sau khi phát hiện có dấu hiệu vi phạm bảo mật. Biện pháp này nhằm ngăn chặn việc khai thác tiếp tục và bảo vệ tài sản người dùng.
Nhóm phát triển của mạng DeFi cho biết, cơ chế khai thác đã cho phép hacker tạo ra 57 loại mã thông báo trên 10 blockchain khác nhau. Các mạng bị ảnh hưởng gồm Ethereum, BNB Chain, Metis, Polygon, Avalanche, Heco cùng nhiều nền tảng phổ biến khác. Tác động đa chuỗi này cho thấy mức độ tinh vi của vụ tấn công và các lỗ hổng liên kết trong hạ tầng cầu nối chuỗi chéo.
Sau khi khai thác thành công, ví của hacker được báo cáo nắm giữ hơn 42 tỷ USD mã thông báo. Tuy nhiên, việc chuyển đổi số mã thông báo giả tạo này thành tiền mặt thực tế lại khó hơn nhiều so với khâu khai thác ban đầu.
Dù giá trị danh nghĩa của số token bị đánh cắp rất lớn, hacker vẫn gặp nhiều trở ngại khi cố gắng rút tiền mặt toàn bộ số tài sản này. Những rào cản gồm thanh khoản thiếu hụt trên các sàn giao dịch phi tập trung và các biện pháp bảo mật do mạng blockchain bị ảnh hưởng cùng nền tảng tập trung áp dụng. Tình huống này cho thấy một điểm then chốt của bảo mật DeFi: các vụ khai thác có thể tạo ra nguồn cung mã thông báo giả, nhưng việc chuyển đổi sang giá trị thực lại đòi hỏi vượt qua nhiều lớp bảo mật và hạn chế thị trường.
Nguyên nhân vụ hack là gì?
Theo phân tích chi tiết từ các chuyên gia bảo mật của Beosin và Dedaub, vụ vi phạm an ninh làm tổn hại Poly Network có khả năng bắt nguồn từ việc bị đánh cắp khóa riêng dùng trong hợp đồng thông minh chính trên nền tảng. Đây là phát hiện quan trọng giúp làm rõ bản chất lỗ hổng.
Các chuyên gia bảo mật nhấn mạnh họ không cho rằng vụ tấn công xuất phát từ lỗ hổng logic hoặc mã nguồn hợp đồng thông minh. Thay vào đó, hướng tấn công có tính căn bản hơn, nhắm đến cơ chế xác thực và cấp quyền thay vì lỗi lập trình.
Theo cáo buộc từ công ty bảo mật, khóa riêng của ba trong số bốn ví quản trị điều khiển hợp đồng thông minh chính đã bị xâm phạm. Kiểu tấn công này đặc biệt nguy hiểm vì nó vượt qua các lớp bảo mật hợp đồng thông minh bằng cách sử dụng thông tin quản trị hợp pháp. Khi nhiều khóa quản trị bị đánh cắp cùng lúc, hacker có thể thực thi các chức năng được cấp phép vốn thường yêu cầu sự đồng thuận giữa quản trị viên.
Bảo mật đa chữ ký mà Poly Network triển khai nhằm ngăn ngừa điểm yếu đơn lẻ. Tuy nhiên, nếu phần lớn các khóa bị xâm phạm đồng thời, mô hình bảo mật này sẽ bị phá vỡ. Sự cố này cho thấy tầm quan trọng của việc quản lý khóa trong hạ tầng blockchain.
Đến thời điểm báo cáo, nhóm Poly Network vẫn chưa xác nhận hoặc làm rõ chính thức về các nhận định của chuyên gia bảo mật. Sự thiếu minh bạch tức thì là điều thường gặp trong các cuộc điều tra an ninh, khi các đội ngũ cần thời gian xác định hướng tấn công và phòng ngừa khai thác thêm.
Nhóm phát triển DeFi cho biết họ đang phối hợp cùng các sàn giao dịch tập trung và cơ quan thực thi pháp luật để xác định thủ phạm và thu hồi tài sản bị đánh cắp. Phương án đa chiều này kết hợp phân tích forensics blockchain, truy vết giao dịch và các biện pháp điều tra truyền thống. Nhóm cũng thông báo tạm ngừng dịch vụ như biện pháp bảo vệ cần thiết trong quá trình điều tra và khắc phục sự cố.
Sau vụ hack Poly Network, CEO của một sàn giao dịch lớn đã trấn an khách hàng rằng sự cố này không ảnh hưởng tới người dùng nền tảng của họ. Ông cho biết sàn giao dịch không hỗ trợ tiền gửi từ mạng này, nhờ đó cách ly người dùng khỏi tác động của vụ khai thác. Lời khẳng định này nhấn mạnh tầm quan trọng của việc tích hợp có chọn lọc và quản trị rủi ro trong hoạt động của sàn giao dịch tiền điện tử.
Nhóm phát triển của mạng bị khai thác cũng phát đi hướng dẫn khẩn cấp tới các dự án bị ảnh hưởng, kêu gọi rút thanh khoản khỏi các sàn phi tập trung như biện pháp phòng ngừa. Đồng thời, họ đề nghị người dùng nắm giữ tài sản bị ảnh hưởng mở khóa và nhận lại token pool thanh khoản gắn với các tài sản tiền điện tử đó. Các biện pháp này nhằm giảm thiểu tổn thất tiềm năng và ngăn hacker tiếp cận thêm nguồn thanh khoản.
Nhằm trực tiếp kêu gọi thủ phạm, nhóm thúc giục hacker hoàn trả tài sản bị đánh cắp để tránh hậu quả pháp lý. Những lời kêu gọi như vậy khá phổ biến trong ngành tiền điện tử và đôi khi đã đem lại kết quả hoàn trả tài sản, nhất là khi hacker đối mặt nguy cơ truy tố hình sự.
Vụ khai thác lớn thứ hai trên Poly Network
Vụ tấn công gần đây là lần khai thác lớn thứ hai nhắm vào Poly Network trong những năm gần đây, đặt ra câu hỏi nghiêm trọng về hạ tầng bảo mật của nền tảng cũng như thách thức chung với các giao thức cầu nối chuỗi chéo.
Trong một sự cố lớn trước đó, một nhóm hacker đã lợi dụng lỗ hổng kiến trúc của mạng để chiếm đoạt gần 611 triệu USD tiền điện tử. Sự cố này được xem là một trong những vụ hack lớn nhất lịch sử tiền điện tử, cả về giá trị tài sản bị chiếm đoạt lẫn mức độ tinh vi về mặt kỹ thuật.
Đặc biệt, ở sự cố trước, hacker đã hoàn trả gần như toàn bộ tài sản chỉ trong khoảng hai ngày sau vụ tấn công. Kết quả này làm dấy lên nhiều giả thuyết về động cơ của thủ phạm, từ ý định minh chứng lỗ hổng bảo mật cho cộng đồng đến áp lực thực thi pháp luật và khó khăn thực tế trong việc rửa một lượng lớn tiền điện tử như vậy.
Theo báo cáo bảo mật của vụ việc đó, lỗ hổng bị khai thác bắt nguồn từ việc rò rỉ khóa riêng dùng để ký thông điệp chuỗi chéo. Hướng tấn công này có điểm tương đồng với sự cố mới, cho thấy quản lý khóa vẫn là thách thức dai dẳng với nền tảng.
Việc lặp lại các sự cố bảo mật nghiêm trọng trên cùng một nền tảng trong thời gian ngắn cho thấy nhiều vấn đề trọng yếu của hệ sinh thái DeFi. Thứ nhất, nó chứng minh rằng khắc phục sự cố và sửa lỗi không đảm bảo miễn nhiễm trước các cuộc tấn công tiếp theo, nhất là khi các lỗ hổng kiến trúc cốt lõi chưa được xử lý triệt để. Thứ hai, nó nhấn mạnh thách thức đặc thù của các giao thức cầu nối chuỗi chéo, vốn phải duy trì bảo mật trên nhiều mạng blockchain cùng lúc.
Các cầu nối chuỗi chéo như Poly Network đối mặt với những thách thức bảo mật đặc biệt do quản lý tài sản và xác thực trên nhiều môi trường blockchain, mỗi nơi có mô hình bảo mật và lỗ hổng riêng. Độ phức tạp của hệ thống tạo ra nhiều điểm tấn công tiềm năng, trong khi giá trị tài sản lớn khiến chúng trở thành mục tiêu hấp dẫn cho hacker chuyên nghiệp.
Mẫu hình lặp lại các vụ tấn công vào hạ tầng cầu nối chuỗi chéo có ý nghĩa lớn với hệ sinh thái DeFi. Điều này cho thấy các mô hình bảo mật hiện tại của cầu nối chuỗi chéo có thể cần được thiết kế lại căn bản, như tăng cường quản lý khóa, giám sát nâng cao và cơ chế đồng thuận linh hoạt hơn cho chức năng quản trị. Ngành công nghiệp vẫn đang đối mặt với những thách thức này khi nhu cầu tương tác chuỗi chéo ngày càng trở nên quan trọng với ứng dụng blockchain.
Câu hỏi thường gặp
Poly Network là gì và tại sao bị tấn công?
Poly Network là giao thức tương tác chuỗi chéo giúp chuyển giao tài sản giữa nhiều blockchain. Nền tảng bị tấn công do lỗ hổng ở cơ chế xác minh hợp đồng thông minh, tạo điều kiện cho hacker khai thác điểm yếu xác thực chữ ký và rút khoảng 10 triệu USD tài sản tiền điện tử trên nhiều chuỗi khác nhau.
10 triệu USD đã bị đánh cắp như thế nào trong vụ tấn công này? Hacker sử dụng phương pháp gì?
Hacker đã khai thác lỗ hổng trong giao thức cầu nối chuỗi chéo của Poly Network để truy cập trái phép vào khóa riêng. Sau đó, họ thực hiện các giao dịch gian lận trên nhiều mạng blockchain, chuyển tài sản sang ví kiểm soát trước khi lỗ hổng được vá.
Nguyên nhân cụ thể dẫn đến lỗ hổng bảo mật của Poly Network là gì? Có phải do lỗi mã hợp đồng thông minh không?
Vụ hack Poly Network phát sinh từ lỗ hổng nghiêm trọng trong hợp đồng thông minh cầu nối chuỗi chéo, cụ thể ở cơ chế xác thực chữ ký. Hacker đã lợi dụng logic xác thực chưa đủ chặt chẽ để giả mạo giao dịch và chuyển tiền trái phép, qua mặt các lớp kiểm tra bảo mật cho hoạt động liên chuỗi.
Tác động của vụ tấn công này lên tài sản người dùng là gì? Có thể thu hồi lại số tiền bị đánh cắp không?
Vụ tấn công đã trực tiếp làm tổn hại tài sản người dùng trên các chuỗi bị ảnh hưởng, với 10 triệu USD bị rút khỏi các pool thanh khoản Poly Network. Khả năng thu hồi tùy thuộc vào phân tích forensics blockchain và phối hợp với cơ quan thực thi pháp luật; một số tài sản có thể bị truy vết và đóng băng, nhưng việc thu hồi toàn bộ là không chắc chắn. Người dùng nên kiểm tra lại tài sản của mình và kích hoạt biện pháp bảo mật nâng cao.
Những rủi ro bảo mật nào tồn tại ở các giao thức cầu nối chuỗi chéo như Poly Network?
Các cầu nối chuỗi chéo đối mặt với rủi ro lỗi hợp đồng thông minh, lộ thông tin xác thực validator, và nguy cơ thao túng thanh khoản. Vụ hack Poly Network năm 2021 đã phơi bày kiểm soát truy cập chưa đủ mạnh và điểm yếu xác thực chữ ký. Các rủi ro chính gồm lỗi mã, tấn công oracle, kiểm toán không đầy đủ và bộ validator tập trung dễ bị hacker nhắm tới để đánh cắp tài sản trên nhiều chuỗi.
Người dùng nên bảo vệ tài sản tiền điện tử khỏi các cuộc tấn công như thế nào?
Sử dụng ví phần cứng để lưu trữ dài hạn, kích hoạt xác thực đa chữ ký, thường xuyên cập nhật giao thức bảo mật, kiểm tra kiểm toán hợp đồng thông minh trước khi giao dịch, và tuyệt đối không chia sẻ khóa riêng hoặc cụm từ bảo mật với bất kỳ ai.
Poly Network đã thực hiện những biện pháp nào để phục hồi và nâng cao bảo mật sau sự cố?
Poly Network đã triển khai các giao thức bảo mật nâng cao, thực hiện kiểm toán hợp đồng thông minh toàn diện, xây dựng chương trình thưởng phát hiện lỗi và nâng cấp cơ chế xác thực chuỗi chéo. Bên cạnh đó, nền tảng cũng tăng cường hệ thống giám sát và hợp tác với các công ty bảo mật để phòng ngừa các cuộc tấn công trong tương lai.
* Thông tin không nhằm mục đích và không cấu thành lời khuyên tài chính hay bất kỳ đề xuất nào được Gate cung cấp hoặc xác nhận.
