Advertisement
Vào ngày 7 tháng 1 năm 2022, nhà sáng lập Ethereum, Vitalik Buterin, đã cảnh báo về tính bảo mật của các cầu nối xuyên chuỗi. Vitalik cho rằng việc kết nối các tài sản xuyên chuỗi không được bảo đảm như trong một blockchain.
Những vụ hack triệu đô xảy ra như một minh chứng rõ ràng cho lập luận của Vitalik Buterin. Vậy, tương lai của các cầu nối xuyên chuỗi sẽ đi về đâu? Liệu đã đến lúc phải từ bỏ ý tưởng về việc kết nối các blockchain bằng các cầu nối?
Cầu nối blockchain/cầu nối xuyên chuỗi/crosschain bridge/blockchain bridge: là 1 giao thức cho phép người dùng chuyển tài sản từ blockchain này sang blockchain khác.
>>> Xem thêm: Blockchain bridge là gì?
Rủi ro bảo mật của cầu nối xuyên chuỗi
Tính an toàn của việc chuyển đổi của tài sản giữa các blockchain không được đảm bảo. Trên thực tế, không ai thực sự có thể chuyển hay kết nối một tài sản với một blockchain khác. Thay vào đó, tài sản được ký gửi, khóa hoặc đốt trên một chuỗi sau đó được ghi có, mở khóa hoặc đúc trên chuỗi thứ hai.
>>> Xem thêm: Stargate Finance – Cầu nối xuyên chuỗi, DApp đầu tiên được xây dựng trên LayerZero
Bên cạnh đó, các blockchain không thể truy cập thông tin ngoài chuỗi. Thay vào đó, oracle trung gian sẽ xác nhận tính chính xác của thông tin ngoài chuỗi và tổng hợp dữ liệu để sử dụng trên chuỗi.
Người dùng phải đặt niềm tin vào cầu nối: đầu tiên là sự tin cậy vào dữ liệu oracle, tiếp theo là niềm tin vào bên lưu trữ.
Thông thường, các cầu nối xuyên chuỗi hoạt động bằng cách gửi một tài sản với một bên lưu trữ và nhận một phiên bản wrapped của tài sản đó từ bên lưu trữ trên blockchain thứ hai. Người dùng phải tin tưởng bên lưu trữ để giữ an toàn tài sản ban đầu và trả lại tài sản wrapped.
Đôi khi, bên lưu trữ có thể là tổ chức tự trị phi tập trung DAO hoặc hợp đồng thông minh (smart contract). Trong mọi trường hợp – cho dù là một DAO hay một công ty bảo mật blockchain như BitGo, cầu nối cần nhiều sự tin tưởng từ người dùng.
Niềm tin tiếp theo là về khả năng chuyển đổi và giá cả tương đương. Việc nhận được tài sản là chưa đủ. Người dùng phải tiếp tục tin tưởng rằng họ sẽ có thể nhận lại được tài sản có giá trị tương đương. Một tài sản ban đầu phải được đổi bằng một tài sản wrapped. Chính vì vậy, người dùng có thể đối mặt với rủi ro ngang giá.
Tài sản từ cầu nối xuyên chuỗi tối thiểu phải duy trì tính ngang giá với tài sản ban đầu. Vì vậy, người dùng không chỉ đặt niềm tin vào quá trình thực hiện cầu nối xuyên chuỗi ở thời điểm hoán đổi (swap) tài sản mà còn kỳ vọng vào việc sử dụng một tài sản wrapped trong tương lai.
Nhìn chung, tất cả các rủi ro bảo mật của một tài sản sẽ tăng lên theo cấp số nhân qua các trung gian cầu nối.
Bạn lo lắng về việc công ty Tether không thể đổi một USDT với giá 1 đô la? Đặc biệt, khi cầu nối xuyên chuỗi USDT kết nối với một blockchain không được Tether hỗ trợ, rủi ro sẽ tăng lên bởi các bên lưu trữ, hợp đồng thông minh, tính thanh khoản, giá tương đương.
Trên hết, vấn đề đặt ra là liệu cầu nối xuyên chuỗi có bị sụp đổ khi người dùng rút tài sản hay không.
Các vụ khai thác lỗ hổng cầu nối xuyên chuỗi (blockchain bridge hack) đã xảy ra
Các cầu nối xuyên chuỗi giống như các lỗ sâu vũ trụ (wormhole) vận chuyển vật chất xuyên không gian, nhưng chúng hình thành một cách tự phát.
Trên thực tế, Wormhole đã từng là cầu nối xuyên chuỗi có vốn hóa lớn nhất, kết nối giữa các blockchain của Ethereum và Solana. Giống như các giao thức cầu nối xuyên chuỗi khác, Wormhole đã bị tấn công. Dưới đây là danh sách các giao thức đã bị hacker khai thác và tấn công.
Khai thác Multichain
Những kẻ tấn công đã đánh cắp 3 triệu đô la trong một vụ khai thác cầu nối xuyên chuỗi Multichain vào ngày 19 tháng 1 năm 2022.
Khi Multichain đưa ra thông báo đầu tiên, người dùng đã đặt câu hỏi về tính an toàn của tài sản. Điều đó cảnh báo người dùng rút các token WETH, MATIC, AVAX, PERI, OMT và WBNB khỏi các hợp đồng thông minh bị ảnh hưởng trên nền tảng.
Sau đó, Multichain cho biết một kẻ tấn công đã trả lại 259 ETH bị đánh cắp. Tether đóng băng USDT trên các địa chỉ được liên kết với khai thác.
Khai thác Qubit
Qubit Finance đã mất 206.809 BNB (80 triệu đô la) trong vụ khai thác QBridge vào ngày 27 tháng 1 năm 2022. Dự án đã xây dựng giao thức của mình trên Binance Chain.
Vụ khai thác đã lừa đảo tạo ra 77.162 qXETH giúp những kẻ tấn công có thể đổi lấy token BNB. Qubit đề nghị thương lượng với kẻ tấn công để lấy lại tiền.
— Qubit Finance (@QubitFin) January 28, 2022
Khai thác Wormhole
Những kẻ tấn công đã tạo ra 120.000 wrapped ETH trên blockchain của Solana bằng cách sử dụng cầu nối Wormhole vào ngày 2 tháng 2 năm 2022. Chúng đã tạo một tài khoản chữ ký giả mạo để xác thực các giao dịch.
Một nhà nghiên cứu Paradigm đã thiết kế ngược lại cuộc tấn công và xác định rằng Wormhole đã không thể triển khai một giao thức có tính xác thực cao hơn cho các chữ ký giám hộ của nó.
tl;dr – Wormhole didn't properly validate all input accounts, which allowed the attacker to spoof guardian signatures and mint 120,000 ETH on Solana, of which they bridged 93,750 back to Ethereum.
— samczsun (@samczsun) February 3, 2022
Khai thác Meter.io’s Meter Passport
Cầu nối Meter.io’s Meter Passport đã mất 4,4 triệu đô la trong một lần khai thác vào ngày 5 tháng 2 năm 2022. Việc khai thác nhắm mục tiêu vào nền tảng hợp đồng thông minh Moonriver trên mạng Polkadot’s Kusama. Những kẻ tấn công đã đánh cắp BNB và wrapped ETH, sau đó bán BNB trên Sàn giao dịch phi tập trung UniSwap.
Việc khai thác này đã khiến giá BNB giảm mạnh, cho phép các cá nhân khác mua BNB với giá thấp và sử dụng BNB làm tài sản thế chấp cho các khoản vay trên các nền tảng như Hundred Crisis. Các khoản vay đã tác động đến nguồn cung của các ứng dụng cho vay bị ảnh hưởng.
1. Around 6am Pacific time we identified someone was able to leverage a vulnerability of the bridge to mint a large amount of BNB and WETH tokens and depleted the bridge reserve for BNB on WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
Khai thác Ronin
Những kẻ tấn công đã đánh cắp 173.600 ETH và 25,5 triệu USDC (khoảng 600 triệu USD) từ cầu nối Ronin vào ngày 29 tháng 3 năm 2022. Việc khai thác liên quan đến việc giành quyền truy cập vào khóa riêng của các node xác thực. Các nhà phát triển Ronin đã tạm dừng việc gửi và rút tiền cho đến khi các cơ quan điều tra xác minh vấn đề.
Các nhà phát triển đã xây dựng trò chơi Axie Infinity Sidechain Ethereum’s Ronin để tiết kiệm phí. Tuy nhiên điều đó đã khiến họ bị xâm phạm về bảo mật.
You cannot make this up
Hacker steals $600MM in ETH from Ronin blockchain the one underlying Axie
Hacker then goes short Ronin & AXS (Axie token) knowing as soon as news breaks that tokens will plummet
But NO ONE notices and they get liquidated on short before news breaks
— Eric Golden 🍌🦇🔊 (@ericgoldenx) March 29, 2022
Trò chơi “play to earn” của Axie Infinity đã làm tổn thất 600 triệu đô la tiền của người dùng.
Khai thác WonderHero
WonderHero đã phát hiện ra việc khai thác cầu nối xuyên chuỗi vào ngày 7 tháng 4 năm 2022, khi giá trị của token WND gốc bất ngờ giảm mạnh 50%. WonderHero đã mất 300.000 đô la token WND trong cuộc tấn công.
WonderHero đã tạm dừng trang web, trò chơi, cầu nối, việc gửi và rút tiền trong quá trình điều tra. Sau đó, WonderHero đã khởi động lại hệ thống trò chơi, thị trường và lợi nhuận. WonderHero đã đăng một phân tích xác nhận rằng cầu nối Binance đã bị tấn công.
Khai thác Harmony One’s Horizon
Harmony One’s Horizon đã mất 100 triệu đô la trong một vụ khai thác vào ngày 23 tháng 6 năm 2022. Đội ngũ đang làm việc với các cơ quan thực thi pháp luật và các chuyên gia pháp lý để điều tra việc khai thác.
Địa chỉ ví được sử dụng để nhận số tiền bị đánh cắp có tên là “Horizon Bridge Exploiter” trên Etherscan.
Horizon Bridge Exploiter hiện chỉ nắm giữ hơn 93.000 đô la tiền mã hóa.
1/ The Harmony team has identified a theft occurring this morning on the Horizon bridge amounting to approx. $100MM. We have begun working with national authorities and forensic specialists to identify the culprit and retrieve the stolen funds.
More 🧵
— Harmony 💙 (@harmonyprotocol) June 23, 2022
Khai thác ChainSwap
ChainSwap đã mất 20 triệu token WILD trong một lần khai thác vào ngày 10 tháng 7 năm 2022. Wilder World sử dụng WILD làm token gốc. Một người dùng Twitter là thành viên của Wilder World đã phát hiện việc khai thác ChainSwap vào ngày 10 tháng 7 năm 2022.
Việc khai thác này cũng ảnh hưởng đến các token Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank và Unifarm.
ChainSwap đã đóng băng cầu nối xuyên chuỗi Ethereum-Binance Smart Chain trong quá trình điều tra.
Trước đó, ChainSwap đã bị khai thác 800.000 đô la tiền mã hóa vào ngày 2 tháng 7 và đã tìm cách bù đắp lại một số thiệt hại trong cuộc tấn công này.
>>> Xem thêm: Hướng dẫn đăng ký Binance mới nhất update 2022
Khai thác Nomad
Những kẻ tấn công đã đánh cắp 190 triệu đô la token bằng cách khai thác lỗ hổng trong hợp đồng thông minh của Nomad vào ngày 2 tháng 8 năm 2022. Khi phương pháp khai thác hợp đồng thông minh được công khai, một cuộc tấn công hàng loạt đánh cắp một lượng tài sản đáng kể.
Andressen Horowitz’s CISO cho rằng một số kẻ tấn công có thể là những hacker mũ trắng nhằm mục đích giữ tiền khỏi tay của những kẻ bất chính.
Nomad đang làm việc với các công ty thực thi pháp luật và an ninh tư nhân để điều tra và cảm ơn các hacker mũ trắng đã có sáng kiến bảo vệ quỹ.
Tổng kết
Các cầu nối giúp di chuyển tài sản của người dùng từ blockchain này sang blockchain khác, nhu cầu này chắc chắn sẽ còn tăng trong tương lai.
Các cầu nối là nơi tập trung tài sản của người dùng. Với tính tự phát và còn ở thuở sơ khai (còn nhiều lỗ hổng), các blockchain bridge là những mục tiêu béo bở mà các hacker đã và đang nhắm tới.
Những giải pháp mới ra đời như Cosmos Network (ATOM) hay Stargate Finance (STG) đang nhắm tới giải quyết vấn đề đó. Tuy nhiên, tính khả thi của dự án vẫn cần thêm thời gian để kiếm chứng.
