Nền tảng tiền số bị tấn công khai thác lỗ hổng, hơn 300 triệu USD biến mất không dấu vết

Thế giới tiền số lại chấn động một lần nữa khi vào thứ Tư vừa qua, một cổng kết nối các chuỗi blockchain có tên Wormhole cho biết đã bị hack và bị trộm số tiền có giá trị hơn 300 triệu USD từ nền tảng này. Đây được xem là vụ trộm tiền số có giá trị lớn thứ tư trong lịch sử lĩnh vực này, sau Mt. Gox, Coincheck và mới đây là PolyNetwork và có thể khiến nhiều bên liên quan bị phá sản.

Về cơ bản, Wormhole là một giao thức chuỗi chéo DeFi, là cầu nối cho phép người dùng chuyển tiền số giữa các chuỗi blockchain, bao gồm mạng lưới Ethereum và Solana. Nó hoạt động bằng cách giữ token của người dùng trong một hợp đồng thông minh trên chuỗi ban đầu và sau đó tạo một mã token “được bọc” bằng wormhole trên chuỗi đích. Các token được bọc này sau đó có thể đổi lấy các token native trên chuỗi đích, giúp trao đổi tiền số giữa các chuỗi.

Tuy nhiên bằng cách nào đó, hacker đã tìm ra một lỗ hổng trong quá trình này để đánh lừa Wormhole nghĩ rằng có một hợp đồng thông minh đã được tạo ra với số tiền 120.000 wETH (mỗi wETH ngang bằng với 1 ETH, tương đương 320 triệu USD vào thời điểm bị mất) cần “được bọc” trên chuỗi đích là Solana. Tất nhiên, do không có số tiền nào như vậy xuất hiện trên chuỗi ban đầu, nghĩa là số token được bọc lại này đã bị rút khỏi ví của Wormhole.

Không cần phải nói vụ việc này đã gây ra một cơn hoảng loạt diện rộng thế nào trên Twitter, dù nền tảng này đã cố gắng xoa dịu tình hình. Wormhole chiếm một thị phần đáng kể trong số các giao thức chuỗi chéo DeFi hiện tại, đại diện cho sự liên kết giữa hệ sinh thái Solana với các mạng lưới phi tập trung khác để trao đổi tài sản.

Khi khả năng dùng các biện pháp kỹ thuật để thu hồi lại số tiền đã mất là vô cùng thấp, Wormhole đang đề nghị thưởng 10 triệu USD cho hacker vì “phát hiện lỗ hổng” để đổi lại số tiền bị mất trộm. Chiến thuật tương tự từng được nền tảng DeFi PolyNetwork sử dụng vào năm ngoái khi bị hack và mất trộm 600 triệu USD – nhưng hacker đó quả thật chỉ muốn cảnh báo cho nền tảng này về lỗ hổng, thay vì muốn lấy trộm tiền.

Trong khi chưa rõ hacker có hài lòng với số tiền thưởng này hay không, Wormhole đã làm mọi người ngạc nhiên khi thông báo vào thứ Năm vừa qua – một ngày sau vụ hack – rằng mọi thứ đã trở lại bình thường: Lỗ hổng đã được vá và mọi khoản tiền bị mất trộm đã được “phục hồi”.

Hóa ra, Jump Crypto, công ty mẹ của Wormhole, chính là người đã bù đắp số tiền bị mất trộm đó cho nền tảng này để ngăn chặn một sự sụp đổ trong hỗn loạn và khủng khiếp. Rõ ràng số tiền thưởng 10 triệu USD mà Wormhole trao thưởng không làm hài lòng hacker khi họ đang có trong tay số tài sản hơn 300 triệu USD.

Trong khi DeFi được cho là một loại hình nền tảng quan trọng cho giấc mơ về tiền mã hóa cùng blockchain, ngày càng nhiều bằng chứng cho thấy đó lại là một trong những cách mất nhiều tiền nhất. Trong số các vụ việc thất thoát tiền số lớn nhất năm 2021, thật không mấy bất ngờ khi DeFi đang chiếm vị trí quan trọng.

Tham khảo Gizmodo