Tàn cuộc của vụ hack Cầu nối Ronin trị giá 650 triệu đô của Axie Infinity

solfi_admin Thứ Tư, 13/04/2022

Kể từ sau vụ hack Cầu nối Ronin của Axie Infinity, đội ngũ phát triển của tựa game này đã huy động được 150 triệu đô để đền bù cho những người dùng bị ảnh hưởng.

Toàn cảnh vụ hack Cầu nối Ronin

Vào cuối tháng ba vừa qua, giao thức Cầu nối Ronin – một sidechain của Ethereum được xây dựng riêng cho tựa game NFT Play-to-Earn nổi tiếng Axie Infinity, đã bị hack mất 173,600 Ether (ETH) và 25.5 triệu USD Coin (USDC) với tổng thiệt hại ước tính lên đến 600 triệu đô.

Sky Marvis sau đó đã xác nhận vụ hack Cầu nối Ronin trong một bài Tweet của mình:

Báo cáo chính thức của công ty cũng tiết lộ thêm rằng các hackers đã thành công lấy được private key của các validator nodes, từ đó chiếm quyền điều khiển của 5 validator nodes, đây cũng là số lượng validators node cần có để phê duyệt giao dịch. Hiện Ronin chain nắm 9 validator nodes và hacker đã chiếm quyền được 4 trong số đó cùng với một validator của bên thứ 3 được kiểm soat bởi tổ chức tự trị phi tập trung Axie DAO.

Nguyên nhân gốc rễ của vụ hack bắt nguồn từ năm ngoái khi Axie DAO cấp quyền truy cập cho Sky Marvis để thay mặt Axie DAO xác nhận các giao dịch nhằm giảm gánh nặng từ lượng người dùng lớn. Tuy nhiên, quyền truy cập này không bao giờ được thu hồi, và vô hình trung trở thành cửa hậu cho hacker thâm nhập trong vụ hack 600 triệu đô.

Sự việc xảy ra vào ngày 23 tháng 3, và chỉ được phát hiện gần một tuần sau đó khi hacker đứng sau vụ tấn công sử dụng số tiền bị đánh cắp để bán khống Axie Infinity (AXS) và Ronin (RON). Các hacker hy vọng có thể kiếm được nhiều tiền hơn từ vụ hack, nghĩ rằng tin tức về vụ hack crypto lớn nhất lịch sử sẽ khiến thị trường sập, tuy nhiên chúng đã bị thanh lý lệnh trước khi tin tức này trở nên viral.

Cầu nối Ronin sau đó đã ngừng hoạt động và tạm ngưng nạp rút cho đến khi cuộc điều tra hoàn tất và có thể mất vài tuần trước khi cầu nối Ronin hoạt động trở lại. Các nhà phát triển của Axie Infinity đã tích cực tìm kiếm sự trợ giúp từ công ty phân tích dữ liệu on-chain Chainalysis và nhiều sàn giao dịch crypto khác nhau để theo dõi và khôi phục khoản tiền bị đánh cắp

Sky Mavis loại trừ khả năng vụ hack xảy ra là do lỗ hổng kỹ thuật và cho rằng đây là một cuộc tấn công social engineering (tấn công phi kỹ thuật). Đồng thời hứa sẽ thu hồi số tiền bị đánh cắp và hoàn trả cho những người dùng bị ảnh hưởng

“Đây là một cuộc tấn công social engineering kết hợp với lỗi của con người từ tháng 12 năm 2021. Công nghệ của Sky Mavis rất bảo mật và chúng tôi sẽ sớm bổ sung thêm các validator mới vào Mạng Ronin để phân tán hóa Mạng Ronin hơn nữa,” Người đồng sáng lập và giám đốc điều hành Axie Infinity là Aleksander Leonard Larsen cho biết.

Bên lở bên bồi

Vụ tấn công vào Ronin Bridge lần này khá giống với vụ tấn công vào Wormhole Bridge trên mạng Solana, các hacker khi đó cũng đã thành công đánh cắp được hơn 320 triệu đô. Sau đó vào tháng 2, công ty đầu tư mạo hiểm Jump Crypto đã quyết định cứu trợ cho những nạn nhân của vụ hack và bổ sung 120,000 ETH cho Wormhole Bridge.

Sky Mavis đã đưa ra những lời hứa tương tự, tuyên bố rằng những người dùng bị ảnh hưởng đảm bảo sẽ được hoàn trả lại tiền ngay cả khi không thể phục hồi số tiền bị đánh cắp. Vào ngày 6 tháng 4, cha đẻ của tựa game nổi tiếng này đã huy động được 150 triệu đô từ sàn giao dịch Binance và các nhà đầu tư khác.

Người phát ngôn của Sky Mavis phát biểu với Cointelegraph:

“Trong tất cả số tiền bị đánh cắp, thì có khoảng 400 triệu đô thuộc về người dùng. Khoản tiền huy động từ vòng gọi vốn mới nhất, cộng với quỹ dự phòng của Sky Mavis và Axie sẽ đảm bảo rằng tất cả người dùng bị ảnh hưởng sẽ được đền bù.

56,000 ETH trong treasury của Axie DAO bị đánh cắp sẽ giữ nguyên trạng thái “đang được thế chấp” trong lúc Sky Mavis đang làm việc với các cơ quan chức năng để thu hồi số tiền bị mất. Nếu số tiền bị đánh cắp không được phục hồi trong vòng hai năm, Axie DAO sẽ bỏ phiếu để quyết định các giải pháp tiếp theo cho treasury của mình.”

Nhiều người trong giới crypto hy vọng rằng các hacker trong vụ hack Ronin Bridge cuối cùng sẽ hoàn trả lại số tiền bị đánh cắp giống như những gì đã xảy ra trong vụ hack của Poly Network, vì rất khó để rửa một số tiền lớn như vậy. Tuy nhiên, vẫn chưa có bất kỳ bằng chứng nào việc Sky Mavis đã liên hệ với các hacker và công ty cũng từ chối bình luận về vấn đề này.

Công ty phân tích dữ liệu crypto Elliptic đã truy vết 540 triệu đô của số tiền bị đánh cắp và họ tin rằng các hacker đã bắt đầu quá trình rửa tiền. Đầu tiên, số USDC bị hack sẽ được swap sang ETH trên các sàn DEX (sàn phi tập trung) để tránh bị đóng băng.

Sau khi đã swap USDC ra ETH, hacker sẽ tiến hành rửa tiền số ETH đó thông qua ba sàn CEX (sàn tập trung) 

Ví của hacker cũng được ghi nhận đã chuyển một phần số tiền đánh cắp đến các dịch vụ trộn tiền như Tornado Cash. Điều đáng chú ý là lúc đầu các hacker trong vụ hack Poly Network cũng làm điều tương tự nhưng cuối cùng quyết định hoàn trả lại số tiền đã đánh cắp vì việc rửa một số tiền lớn như vậy sẽ hết sức khó khăn. Theo báo cáo của PeckShield, các hacker đã rửa được khoảng 42 triệu đô, tương đương 7.5% tổng số tiền đã đánh cắp

“Việc hack và đánh cắp tiền không khó, cái khó ở đây là phải lên kế hoạch rửa tiền thật chu đáo để có thể thuận lợi nuốt khoản tiền đó. Hơn nữa, vụ hack càng lớn thì hacker càng khó nuốt trôi được khoản tiền bị đánh cắp,” Jonah Michaels, lãnh đạo truyền thông của nền tảng bug bounty Web3 Immunefi cho biết.

Có cách nào “phòng bệnh” hay không?

Mặc dù các blockchain khác nhau sẽ được thiết kế khác nhau, nhưng chúng đều dựa trên nguyên tắc chung là phi tập trung, nhằm đảm bảo rằng quyền lực và tính bảo mật không tập trung vào tay của một thực thể duy nhất.

Tầm quan trọng của tính phi tập trung đã được nêu rõ qua vụ hack Ronin Bridge lần này. Khi thiết kế một public blockchain với mục tiêu phân tán quyền lực và tính bảo mật, thì ít nhất nó phải đáp ứng được yêu cầu tối thiểu là nó PHÂN TÁN. Việc sử dụng chín validator, bốn trong số đó được kiểm soát bởi một bên duy nhất, đã được chứng mình là kém bảo mật.

Mặc dù Sky Mavis phủ nhận rằng vụ hack có liên quan đến các thiếu sót kỹ thuật, thì việc hacker có thể khai thác cửa hậu và chiếm quyền validator node chỉ vì nhà phát triển quên thu hồi quyền truy cập của một validator bên thứ 3 cũng cho thấy một mức độ tập trung nhất định trong quy trình phê duyệt của Validator. Điều này cuối cùng đã dẫn đến tổn thất hơn 600 triệu đô 

Với một tựa game lớn được định giá hơn 4 tỷ đô và có số lượng người dùng lên đến hàng triệu như Axie Infinity, các nhà phát triển đã có thể làm tốt hơn trong vấn đề bảo mật cross-bridge, đặc biệt là khi các giao thức cross-bridge đang là tâm điểm của các vụ hack lớn trong những năm qua

Jean-Paul Faraq, trưởng phụ trách cộng đồng và quan hệ đối tác của Unstoppable Games, phát biểu với Cointelegraph rằng:

“Axie và blockchain Ronin của họ có ý định tốt và tầm nhìn lớn. Thật vậy, xét đến khả năng mở rộng của Ethereum khi Ronin được xây dựng, bạn có thể cho rằng đó là lựa chọn đúng đắn vào thời điểm đó, nhưng các nhà phát triển đã có thể chi tiền để làm bảo mật cho blockchain của họ tốt hơn. Họ sẽ phải chiêm nghiệm thật lâu sau sự việc lần này, và tôi tin là họ sẽ thay đổi để trở nên tốt hơn.”

Các nhà phát triển của tựa game này đã hứa sẽ tăng số lượng validator node từ 9 lên 21 trong quý tới. Họ cũng đảm bảo rằng nếu số tiền bị đánh cắp không thể khôi phục trong vòng hai năm, thì Axie DAO sẽ bỏ phiếu để quyết định các giải pháp tiếp theo cho treasury của mình. 

BlockSolFi tổng hợp

Tham gia bàn luận ngay cùng BlockSolFi tại Telegram và Facebook.

Đọc thêm:

Cầu nối Ronin của Axie Infinity bị hack 625 triệu đô la, vụ hack DeFi lớn nhất từ trước đến nay

Axie Infinity huy động được 150 triệu đô đền bù số tiền bị hack