Keyword

Tàn cuộc của vụ hack Cầu nối Ronin trị giá 650 triệu đô của Axie Infinity

solfi_admin Thứ Tư, 13/04/2022

Kể từ sau vụ hack Cầu nối Ronin của Axie Infinity, đội ngũ phát triển của tựa game này đã huy động được 150 triệu đô để đền bù cho những người dùng bị ảnh hưởng.

Toàn cảnh vụ hack Cầu nối Ronin

Vào cuối tháng ba vừa qua, giao thức Cầu nối Ronin – một sidechain của Ethereum được xây dựng riêng cho tựa game NFT Play-to-Earn nổi tiếng Axie Infinity, đã bị hack mất 173,600 Ether (ETH) và 25.5 triệu USD Coin (USDC) với tổng thiệt hại ước tính lên đến 600 triệu đô.

Sky Marvis sau đó đã xác nhận vụ hack Cầu nối Ronin trong một bài Tweet của mình:

Báo cáo chính thức của công ty cũng tiết lộ thêm rằng các hackers đã thành công lấy được private key của các validator nodes, từ đó chiếm quyền điều khiển của 5 validator nodes, đây cũng là số lượng validators node cần có để phê duyệt giao dịch. Hiện Ronin chain nắm 9 validator nodes và hacker đã chiếm quyền được 4 trong số đó cùng với một validator của bên thứ 3 được kiểm soat bởi tổ chức tự trị phi tập trung Axie DAO.

Nguyên nhân gốc rễ của vụ hack bắt nguồn từ năm ngoái khi Axie DAO cấp quyền truy cập cho Sky Marvis để thay mặt Axie DAO xác nhận các giao dịch nhằm giảm gánh nặng từ lượng người dùng lớn. Tuy nhiên, quyền truy cập này không bao giờ được thu hồi, và vô hình trung trở thành cửa hậu cho hacker thâm nhập trong vụ hack 600 triệu đô.

Sự việc xảy ra vào ngày 23 tháng 3, và chỉ được phát hiện gần một tuần sau đó khi hacker đứng sau vụ tấn công sử dụng số tiền bị đánh cắp để bán khống Axie Infinity (AXS) và Ronin (RON). Các hacker hy vọng có thể kiếm được nhiều tiền hơn từ vụ hack, nghĩ rằng tin tức về vụ hack crypto lớn nhất lịch sử sẽ khiến thị trường sập, tuy nhiên chúng đã bị thanh lý lệnh trước khi tin tức này trở nên viral.

Cầu nối Ronin sau đó đã ngừng hoạt động và tạm ngưng nạp rút cho đến khi cuộc điều tra hoàn tất và có thể mất vài tuần trước khi cầu nối Ronin hoạt động trở lại. Các nhà phát triển của Axie Infinity đã tích cực tìm kiếm sự trợ giúp từ công ty phân tích dữ liệu on-chain Chainalysis và nhiều sàn giao dịch crypto khác nhau để theo dõi và khôi phục khoản tiền bị đánh cắp

Sky Mavis loại trừ khả năng vụ hack xảy ra là do lỗ hổng kỹ thuật và cho rằng đây là một cuộc tấn công social engineering (tấn công phi kỹ thuật). Đồng thời hứa sẽ thu hồi số tiền bị đánh cắp và hoàn trả cho những người dùng bị ảnh hưởng

“Đây là một cuộc tấn công social engineering kết hợp với lỗi của con người từ tháng 12 năm 2021. Công nghệ của Sky Mavis rất bảo mật và chúng tôi sẽ sớm bổ sung thêm các validator mới vào Mạng Ronin để phân tán hóa Mạng Ronin hơn nữa,” Người đồng sáng lập và giám đốc điều hành Axie Infinity là Aleksander Leonard Larsen cho biết.

Bên lở bên bồi

Vụ tấn công vào Ronin Bridge lần này khá giống với vụ tấn công vào Wormhole Bridge trên mạng Solana, các hacker khi đó cũng đã thành công đánh cắp được hơn 320 triệu đô. Sau đó vào tháng 2, công ty đầu tư mạo hiểm Jump Crypto đã quyết định cứu trợ cho những nạn nhân của vụ hack và bổ sung 120,000 ETH cho Wormhole Bridge.

Sky Mavis đã đưa ra những lời hứa tương tự, tuyên bố rằng những người dùng bị ảnh hưởng đảm bảo sẽ được hoàn trả lại tiền ngay cả khi không thể phục hồi số tiền bị đánh cắp. Vào ngày 6 tháng 4, cha đẻ của tựa game nổi tiếng này đã huy động được 150 triệu đô từ sàn giao dịch Binance và các nhà đầu tư khác.

Người phát ngôn của Sky Mavis phát biểu với Cointelegraph:

“Trong tất cả số tiền bị đánh cắp, thì có khoảng 400 triệu đô thuộc về người dùng. Khoản tiền huy động từ vòng gọi vốn mới nhất, cộng với quỹ dự phòng của Sky Mavis và Axie sẽ đảm bảo rằng tất cả người dùng bị ảnh hưởng sẽ được đền bù.

56,000 ETH trong treasury của Axie DAO bị đánh cắp sẽ giữ nguyên trạng thái “đang được thế chấp” trong lúc Sky Mavis đang làm việc với các cơ quan chức năng để thu hồi số tiền bị mất. Nếu số tiền bị đánh cắp không được phục hồi trong vòng hai năm, Axie DAO sẽ bỏ phiếu để quyết định các giải pháp tiếp theo cho treasury của mình.”

Nhiều người trong giới crypto hy vọng rằng các hacker trong vụ hack Ronin Bridge cuối cùng sẽ hoàn trả lại số tiền bị đánh cắp giống như những gì đã xảy ra trong vụ hack của Poly Network, vì rất khó để rửa một số tiền lớn như vậy. Tuy nhiên, vẫn chưa có bất kỳ bằng chứng nào việc Sky Mavis đã liên hệ với các hacker và công ty cũng từ chối bình luận về vấn đề này.

Công ty phân tích dữ liệu crypto Elliptic đã truy vết 540 triệu đô của số tiền bị đánh cắp và họ tin rằng các hacker đã bắt đầu quá trình rửa tiền. Đầu tiên, số USDC bị hack sẽ được swap sang ETH trên các sàn DEX (sàn phi tập trung) để tránh bị đóng băng.

Hoạt động di chuyển của số tiền bị hacker đánh cắp. Nguồn: Elliptic

Sau khi đã swap USDC ra ETH, hacker sẽ tiến hành rửa tiền số ETH đó thông qua ba sàn CEX (sàn tập trung) 

Ví của hacker cũng được ghi nhận đã chuyển một phần số tiền đánh cắp đến các dịch vụ trộn tiền như Tornado Cash. Điều đáng chú ý là lúc đầu các hacker trong vụ hack Poly Network cũng làm điều tương tự nhưng cuối cùng quyết định hoàn trả lại số tiền đã đánh cắp vì việc rửa một số tiền lớn như vậy sẽ hết sức khó khăn. Theo báo cáo của PeckShield, các hacker đã rửa được khoảng 42 triệu đô, tương đương 7.5% tổng số tiền đã đánh cắp

Hoạt động rửa tiền tinh vi của hacker. Nguồn: PeckShield

“Việc hack và đánh cắp tiền không khó, cái khó ở đây là phải lên kế hoạch rửa tiền thật chu đáo để có thể thuận lợi nuốt khoản tiền đó. Hơn nữa, vụ hack càng lớn thì hacker càng khó nuốt trôi được khoản tiền bị đánh cắp,” Jonah Michaels, lãnh đạo truyền thông của nền tảng bug bounty Web3 Immunefi cho biết.

Có cách nào “phòng bệnh” hay không?

Mặc dù các blockchain khác nhau sẽ được thiết kế khác nhau, nhưng chúng đều dựa trên nguyên tắc chung là phi tập trung, nhằm đảm bảo rằng quyền lực và tính bảo mật không tập trung vào tay của một thực thể duy nhất.

Tầm quan trọng của tính phi tập trung đã được nêu rõ qua vụ hack Ronin Bridge lần này. Khi thiết kế một public blockchain với mục tiêu phân tán quyền lực và tính bảo mật, thì ít nhất nó phải đáp ứng được yêu cầu tối thiểu là nó PHÂN TÁN. Việc sử dụng chín validator, bốn trong số đó được kiểm soát bởi một bên duy nhất, đã được chứng mình là kém bảo mật.

Mặc dù Sky Mavis phủ nhận rằng vụ hack có liên quan đến các thiếu sót kỹ thuật, thì việc hacker có thể khai thác cửa hậu và chiếm quyền validator node chỉ vì nhà phát triển quên thu hồi quyền truy cập của một validator bên thứ 3 cũng cho thấy một mức độ tập trung nhất định trong quy trình phê duyệt của Validator. Điều này cuối cùng đã dẫn đến tổn thất hơn 600 triệu đô 

Với một tựa game lớn được định giá hơn 4 tỷ đô và có số lượng người dùng lên đến hàng triệu như Axie Infinity, các nhà phát triển đã có thể làm tốt hơn trong vấn đề bảo mật cross-bridge, đặc biệt là khi các giao thức cross-bridge đang là tâm điểm của các vụ hack lớn trong những năm qua

Jean-Paul Faraq, trưởng phụ trách cộng đồng và quan hệ đối tác của Unstoppable Games, phát biểu với Cointelegraph rằng:

“Axie và blockchain Ronin của họ có ý định tốt và tầm nhìn lớn. Thật vậy, xét đến khả năng mở rộng của Ethereum khi Ronin được xây dựng, bạn có thể cho rằng đó là lựa chọn đúng đắn vào thời điểm đó, nhưng các nhà phát triển đã có thể chi tiền để làm bảo mật cho blockchain của họ tốt hơn. Họ sẽ phải chiêm nghiệm thật lâu sau sự việc lần này, và tôi tin là họ sẽ thay đổi để trở nên tốt hơn.”

Các nhà phát triển của tựa game này đã hứa sẽ tăng số lượng validator node từ 9 lên 21 trong quý tới. Họ cũng đảm bảo rằng nếu số tiền bị đánh cắp không thể khôi phục trong vòng hai năm, thì Axie DAO sẽ bỏ phiếu để quyết định các giải pháp tiếp theo cho treasury của mình. 

BlockSolFi tổng hợp

Tham gia bàn luận ngay cùng BlockSolFi tại Telegram và Facebook.

Đọc thêm:

Cầu nối Ronin của Axie Infinity bị hack 625 triệu đô la, vụ hack DeFi lớn nhất từ trước đến nay

Axie Infinity huy động được 150 triệu đô đền bù số tiền bị hack

a16z bỏ phiếu chống lại đề xuất triển khai Uniswap V3 trên BNB Chain
Thứ Hai, 06/02/2023

Công ty đầu tư mạo hiểm Andreessen Horowitz (a16z) đã bỏ phiếu chống lại đề xuất cuối cùng về việc triển khai Uniswap V3 trên BNB Chain thông qua cầu nối Wormhole. Đề xuất triển khai gây châm ngòi cuộc chiến giữa các quỹ đầu tư của Uniswap – a16z áp đảo Theo DAO forum […]

Google đầu tư gần 400 triệu USD vào công ty AI Anthropic – đối thủ của ChatGPT
Thứ Hai, 06/02/2023

Các tập đoàn công nghệ lớn đang dần đầu tư vào các công ty tiên phong về trí tuệ nhân tạo AI, mở ra cuộc chiến mới chưa biết trước được điểm dừng. Theo đó, Google đã thực hiện một khoản đầu tư 300 triệu USD vào một start-up chuyên về trí tuệ nhân tạo […]

Huobi niêm yết FUD – token của dự án ‘đòi nợ FTX’
Thứ Hai, 06/02/2023

Vào sáng ngày 5 tháng 2 vừa qua, sàn giao dịch Huobi bất ngờ thông báo, cho biết nền tảng sẽ niêm yết FUD, đồng tiền mã hóa của Debt DAO, một dự án “đòi nợ FTX” kỳ lạ và ít người dõi theo. Huobi niêm yết FUD Vào ngày 4 tháng 2, Debt Dao […]

Tặng 30% giá trị nạp – DBay Exchange tạo nên “địa chấn” trên thị trường Crypto
Thứ Bảy, 04/02/2023

Địa chấn đầu năm cho các trader thị trường Crypto – DBay Exchange tung chương trình Siêu ưu đãi tặng 30% giá trị nạp để giao dịch thả ga. Cơ hội đầu tư với vốn ít nhưng vẫn có vị thế cao đã không còn là một thứ “trong mơ” nữa! Khám phá chi tiết […]

Thêm một công ty con của Sam Bankman-Fried phá sản
Thứ Bảy, 04/02/2023

Emergent Fidelity Technologies, một công ty cổ phần của Sam Bankman-Fried có trụ sở tại Antigua và Barbuda, đã nộp đơn xin bảo hộ phá sản. Emerrgent hiện là chủ sở hữu 56 triệu cổ phiếu của công ty môi giới trực tuyến Robinhood. Công ty tranh chấp tài sản với BlockFi của Sam Bankman-Fried […]

Orion Protocol bị hack 3 triệu USD do lỗ hổng của bên thứ ba
Thứ Bảy, 04/02/2023

Giám đốc điều hành Alexey Koloskov của Orion Protocol tuyên bố rằng số tiền bị đánh cắp là từ Kho bạc của Orion, đồng thời nói thêm rằng tất cả tiền của người dùng đều an toàn. Orion Protocol bị hack 3 triệu USD Orion Protocol bị tấn công và thiệt hại 3 triệu USD […]

Ripple khẳng định cuộc chiến với SEC có thể kết thúc vào năm 2023
Thứ Bảy, 04/02/2023

Ủy ban Chứng khoán và Giao dịch (SEC) và Ripple đã “chiến” nhau kể từ tháng 12 năm 2020 sau khi cơ quan quản lý cáo buộc rằng Ripple cùng hai giám đốc điều hành của công ty đã huy động được 1,3 tỷ USD trong một đợt bán chứng khoán chưa đăng ký. Không […]

Tại sao Polygon lại vượt trội hơn Ethereum về khoản bán NFT?
Thứ Bảy, 04/02/2023

Có thể đánh giá, nhờ lợi thế về cấu trúc của mình, Polygon khiến nó trở thành một trong những mạng lưới được người dùng NFT tìm kiếm nhiều nhất. Số lượng NFT được bán ra trên Polygon bỏ xa Ethereum Polygon (MATIC) có sự vận hành tốt trên đường đua của thị trường crypto […]

Takashi Murakami ‘bắt tay’ Hublot phát hành bộ sưu tập 13 NFT được liên kết với đồng hồ thật
Thứ Bảy, 04/02/2023

Mười hai trong số những chiếc đồng hồ NFT sẽ được cung cấp độc quyền cho người sở hữu các bộ sưu tập trước đây của Takashi Murakami và Hublot. Takashi Murakami tiếp tục hợp tác nghệ thuật với Hublot ra mắt bộ sưu tập NFT mới Nghệ sĩ Nhật Bản Takashi Murakami đã hợp […]

Core Scientific chuyển giao 27.000 giàn khai thác để ‘cấn nợ’
Thứ Sáu, 03/02/2023

Core Scientific cho biết các máy móc được chuyển giao vì chúng “không còn cần thiết” cho “các hoạt động hiện tại và kế hoạch kinh doanh trong tương lai” của công ty. Core Scientific “cấn nợ” bằng máy đào Công ty khai thác tiền điện tử bị phá sản Core Science sẽ chuyển quyền […]

Rollup đã ‘khơi mào’ cho cuộc chiến Layer 2 như thế nào?
Thứ Hai, 16/01/2023

Rollup là gì mà có thể mở ra “Layer-2 War”. Cùng tìm hiểu qua bối cảnh xuất hiện và vai trò của loại công nghệ này qua bài viết sau đây. Layer 2 từng là chủ đề vô cùng nóng hổi cách đây vài năm khi lần đầu tiên rộ lên chủ đề về khả […]

Dự án Crypto – Sáng tạo và tiền bạc là chưa đủ, làm được hay không mới quan trọng
Thứ Tư, 23/11/2022

Khi phát triển ý tưởng cho một dự án crypto mới, cần hiểu rằng công nghệ mới không đồng nghĩa với một sản phẩm tốt, và mối quan hệ giữa hai yếu tố này là không tương đồng. Ví dụ kinh điển nhất để giải thích cho điều này là iPhone. Mối quan hệ nào […]

5 công cụ phân tích tiền mã hoá phải có nhằm biến ‘gà mờ’ thành dân chuyên
Chủ Nhật, 06/11/2022

Nhờ công nghệ blockchain nên các dữ liệu được công khai. Do đó, nếu tận dụng tốt những công cụ phân tích tiền mã hoá trong thời gian thực, người dùng sẽ mở khoá rất nhiều cơ hội tìm được “hidden gem”. Các công cụ phân tích tiền mã hoá cần phải “nắm trong lòng bàn […]

Sui và Aptos: Ai sẽ là kẻ chiến thắng trên đường đua của Move?
Chủ Nhật, 23/10/2022

Aptos và Sui Blockchain là hai dự án thu hút được rất nhiều sự quan tâm của giới crypto trong thời gian qua khi được giới thiệu như các “blockchain thế hệ mới”, giải mã vấn đề nan giải của những người đi trước. Vậy hai blockchain có nguồn gốc từ “đống tàn tro” của […]

Wash trading NFT là gì? Cách để nhận diện hoạt động gây nhiễu này
Thứ Bảy, 22/10/2022

Thị trường NFT vẫn đang trong giai đoạn còn rất non trẻ kéo theo đó là những hoạt động wash trading không ngừng diễn ra và sôi nổi hơn bao giờ hết. Điều này khiến cho việc định giá một bộ sưu tập NFT dường như là không thể khi mà giá trị giao dịch […]

Khác biệt cốt lõi giữa ‘Token tiện tích’ và ‘Token cổ phần’
Thứ Hai, 17/10/2022

Những khái niệm quen thuộc như coin hay Token tưởng chừng vô cùng cơ bản nhưng gây nên không ít bối rối cho phía nhà đầu tư khi mà trong tiến trình phát triển nhanh chóng của thị trường mã hóa, hầu như các nhà giao dịch đều cảm thấy chúng không có sự khác […]

Cái nhìn ‘méo mó’ về bản chất tốt đẹp của NFT
nft
Thứ Bảy, 15/10/2022

NFT không phải là một dấu hiệu của sự lừa dối hay một mánh lới quảng cáo cường điệu hóa, và ngành công nghiệp NFT không thể rơi vào con đường sai lầm của “nhanh nở, chóng tàn” như nhan nhản các ý tưởng “ăn xổi” thường thấy trong thị trường mã hóa. NFT chỉ […]

NFT, nhu cầu ảo và nguồn cung ảo
Thứ Sáu, 07/10/2022

Nhu cầu vô cùng ảo do NFT tạo nên là nhu cầu phi vật chất đầu tiên trong lịch sử loài người, và nó vẫn đang ở trong tình trạng hỗn loạn, đầy mơ hồ. Bên cạnh đó, nguồn cung của NFT không hề hữu hạn như cách chúng ta vẫn thường lầm tưởng. Bài […]

Tại sao Zero-knowledge Proofs lại quan trọng đến vậy? Ứng dụng và Thách thức
Chủ Nhật, 02/10/2022

Những ai đã từng tìm hiểu qua các loại công nghệ tiêu biểu của blockchain chắc hẳn không mấy xa lạ với khái niệm “Zero-knowledge Proofs”, vốn được ví như món quà may mắn của Web3. Vậy loại công nghệ này cơ bản được sử dụng để làm gì và ứng dụng như thế nào? […]

Stablecoin và sự biến động trong lợi tức
Thứ Năm, 29/09/2022

Chúng ta hãy cùng xem xét lợi suất cho vay stablecoin đối với giao thức tài chính phi tập trung (DeFi) của Compound Finance V2 và phân tích xem, hiệu suất lợi nhuận, sự biến động và những yếu tố nào đang thúc đẩy lợi suất cho vay thế chấp các stablecoin thông qua giao […]

Đăng ký newsletter

Blocksolfi là cổng thông tin blockchain cập nhật tin tức thị trường nhanh và chính xác nhất. Đăng ký newsletter của Blocksolfi để không bỏ lỡ các diễn biến quan trọng của thị trường