Advertisement
Kể từ sau khi Ronin Bridge của Axie Infinity bị hack, các nhà phát triển đằng sau trò chơi này đã kêu gọi được 150 triệu đô để bồi thường cho những người dùng bị ảnh hưởng.
Ronin là một Sidechain của Ethereum được xây dựng cho trò chơi NFT Play-to-earn (chơi để kiếm tiền – P2E) Axie Infinity nổi tiếng. Vào hồi cuối tháng 3/2022, Ronin đã bị hack hơn 173.600 Ether (ETH) và 25,5 triệu USD Coin (USDC) với tổng giá trị lên tới 600 triệu đô.
Báo cáo chính thức từ công ty này giải thích rằng các hacker đã truy cập được vào Khóa riêng tư của các node xác thực. Chúng đã hack được 5 node xác thực, cũng là số lượng cần thiết để phê duyệt một giao dịch. Chuỗi Ronin hiện tại bao gồm 9 node xác thực và các hacker đã tiếp cận được 4 node với một bên xác thực thứ ba được điều hành bởi Axie DAO, một tổ chức tự trị phi tập trung (DAO).
Nguyên nhân gốc rễ của vụ hack này có thể bắt nguồn từ năm trước đó khi Axie DAO cho phép Sky Mavis, những nhà phát triển đằng sau trò chơi P2E này, truy cập vào để đại diện cho họ xác thực các giao dịch, giúp cải thiện lưu lượng người dùng. Tuy nhiên, Ronin chưa bao giờ thu hồi quyền truy cập này, tạo ra lỗ hổng để hacker có thể xâm nhập vào và dẫn tới vụ hack 600 triệu đô.
Vụ hack này chỉ được phát hiện một tuần sau khi các hacker sử dụng số tiền trộm được để bán khống Axie Infinity (AXS) và Ronin (RON). Các hacker hi vọng có thể kiếm nhiều tiền hơn từ số tiền chúng hack được, đồng thời cho rằng rằng tin tức về vụ hack tiền mã hóa lớn nhất sẽ khiến thị trường hạ giá. Tuy nhiên, kế hoạch của chúng đã thất bại trước khi tin tức nổ ra.
Sau sự cố, Ronin Bridge đã bị đóng, dừng tất cả các khoản đặt cọc và rút tiền cho tới khi cuộc điều tra hoàn tất và có thể sẽ mất vài tuần nữa cho tới khi cầu nối này được mở lại cho công chúng. Những nhà phát triển đằng sau trò chơi này đã tìm kiếm sự trợ giúp từ nhiều sàn giao dịch và nhóm phân tích tiền mã hóa Chainalysis để thăm dò động thái của nguồn tiền và khôi phục chúng.
Sky Mavis đã loại bỏ lỗ hổng kỹ thuật là nguyên nhân chính đằng sau vụ tấn công và đổ tội cho tấn công phi kỹ thuật. Các nhà phát triển này hứa sẽ bồi thường và khôi phục lại số tiền bị đánh cắp.
Aleksander Leonard Larsen, đồng sáng lập và Giám đốc Điều hành của Axie Infinity cho biết: “Đây là một cuộc tấn công phi kỹ thuật kết hợp với lỗi từ con người vào hồi tháng 12/2021. Công nghệ Sky Mavis rất vững chắc và chúng tôi sẽ nhanh chóng bổ sung các trình xác thực vào mạng lưới Ronin để khiến mạng lưới này ngày càng phi tập trung”.
Rửa tiền và bồi thường
Vụ tấn công vào Ronin Bridge khá giống những gì xảy ra với Wormhole Bridge của Solana, các hacker đã trốn thoát với 320 triệu đô tiền mã hóa từ nền tảng này. Sau đó vào tháng 2/2022, Jump crypto – một công ty đầu tư mạo hiểm – đã giải cứu những người dùng bị ảnh hưởng và bù đắp 120.000 ETH.
Sky Mavis cũng đưa ra lời hứa tương tự sau vụ tấn công, khẳng định rằng họ sẽ đảm bảo những người dùng bị ảnh hưởng được đền bù cho dù khoản tiền không được khắc phục. Vào hôm 6/4, các nhà sáng tạo của trò chơi nổi tiếng này đã huy động được 150 triệu đô bởi sàn giao dịch Binance và các nhà đầu tư khác.
Elliptic, một công ty phân tích dữ liệu tiền mã hóa, đã truy được 540 triệu đô bị tấn công. Họ tin rằng các hacker đã bắt đầu rửa tiền. Đầu tiên, khoản USDC đánh cắp được sẽ được đổi sang ETH trên các Sàn giao dịch phi tập trung để tiền không bị đóng băng.
Sau khi đã đổi USDC thành ETH, các hacker bắt đầu rửa tiền ETH qua ba sàn giao dịch tập trung.
Ví tiền của các hacker vụ Ronin Bridge cũng đã bắt đầu gửi tiền cho các dịch vụ trộn tiền như Tornado Cash. Đáng lưu ý là, những kẻ tấn công Poly Network ban đầu cũng đã làm vậy nhưng cuối cùng phải quyết định trả lại số tiền này vì rửa một lượng tiền lớn như vậy là vô cùng khó. Theo một báo cáo của PeckShield, các hacker đã rửa khoảng 42 triệu đô, khoảng 7,5% lượng tiền đánh cắp.
“Hack là phần dễ dàng nhất. Phần khó khăn nhất là lên kế hoạch đủ tốt để đảm bảo rằng có thể đổi số tiền trộm được sang tiền mặt. Hơn nữa, vụ hack càng lớn thì các hacker càng có ít khả năng thành công với tất cả số tiền kiếm được”, Jonah Michaels, trưởng bộ phận truyền thông tại Immunefi – một nền tảng Web3 săn lỗi nhận tiền thưởng, cho biết.
Có thể tránh được vụ hack này ngay từ đầu không?
Trong khi không phải nền tảng blockchain nào cũng giống nhau, chúng đều được xây dựng trên cơ sở phi tập trung. Điều này đảm bảo rằng sức mạnh và an ninh không tập trung vào một thực thể duy nhất.
Vụ hack của Ronin càng nhấn mạnh nhu cầu phi tập trung hơn. Trong số 9 node xác thực thì có tới 4 node được kiểm soát bởi một bên, chính điều này đã không cho thấy sự phi tập trung. Sự thật rằng các hacker có thể tấn công và truy cập nhờ lỗ hổng từ một node xác thực vì các nhà phát triển quên không thu hồi quyền truy cập cho bên xác thực thứ ba chắc chắn cho thấy tính tập trung trong quá trình xác thực. Điều này trở thành lý do cho sự tổn thất 600 triệu đô tiền mã hóa.
Các nhà phát triển trò chơi này hứa sẽ tăng số lượng node xác thực từ 9 tới 21 trong quý sắp tới. Họ cũng đảm bảo rằng nếu số tiền bị đánh cắp không được khôi phục trong hai năm tới, Axie DAO sẽ bỏ phiếu cho các bước tiếp theo đối với ngân quỹ của họ.