Khi hàng triệu đô la tiền điện tử bị đánh cắp từ một giao thức tài chính phi tập trung , những câu hỏi khó thường nảy sinh — và vụ tấn công chiếm đoạt 285 triệu đô la của Drift Protocol hôm thứ Tư cũng không phải ngoại lệ.
Dự án dựa trên Solana đã trở thành tâm điểm chú ý khi các nhà nghiên cứu và chuyên gia xem xét kỹ lưỡng thiết kế của nó, đặt ra câu hỏi liệu một số tính năng hoặc quy trình thiết kế nhất định có thể ngăn chặn ai đó thực hiện một trong những cuộc tấn công DeFi sinh lợi nhất trong thời gian gần đây hay không.
Trong một bài đăng trên X, Drift cho biết một kẻ xấu đã truy cập trái phép vào nền tảng của họ thông qua một "cuộc tấn công mới", cho phép kẻ này có quyền quản trị đối với cái gọi là hội đồng an ninh của Drift. Họ nói thêm rằng cuộc tấn công có thể liên quan đến một mức độ "kỹ thuật xã hội tinh vi".
Vụ trộm này, một trong những vụ lớn nhất trong lịch sử DeFi gần đây, dựa trên việc đưa một tài sản kỹ thuật số giả mạo lên sàn Sàn phi tập trung (DEX) và sửa đổi giới hạn rút tiền của nền tảng. Sau khi thổi phồng giá trị của token giả mạo, kẻ tấn công đã có được khả năng nhanh chóng rút hết thanh khoản thực từ Drift bằng cách lợi dụng cơ chế vay mượn.
Theo báo cáo của công ty tình báo blockchain Elliptic hôm thứ Năm, có những dấu hiệu cho thấy vụ tấn công này có liên quan đến Cộng hòa Dân chủ Nhân dân Triều Tiên . Họ chỉ ra hành vi on-chain , phương pháp rửa tiền và các chỉ số cấp độ mạng của kẻ tấn công.
Do tiền gửi của người dùng bị ảnh hưởng—và giao thức bị đóng băng như một biện pháp phòng ngừa—giới quan sát cũng đang tập trung vào một yếu tố cốt lõi trong thiết kế của Drift: ví Đa chữ ký , nơi các chữ ký được tạo ra bởi hai khóa riêng tư cho phép kẻ tấn công giành được quyền kiểm soát rộng lớn.
Ví Đa chữ ký đại diện cho điểm tập trung hóa đối với nhiều dự án DeFi , và sự cố này phơi bày thực tế khó chịu rằng việc kiểm toán hợp đồng thông minh chỉ có thể ngăn chặn được một mức độ thiệt hại nhất định, theo David Schwed, COO của SVRN và chuyên gia về bảo mật blockchain.
Ông nói với Decrypt rằng Drift đã trở thành ví dụ mới nhất cho thấy các dịch vụ tìm cách thay thế các trung gian tài chính bằng mã lập trình thường phụ thuộc vào các nhóm nhỏ và các điểm tập trung như ví Đa chữ ký, vốn tiềm ẩn rủi ro về an ninh mạng.
“Tất cả các kỹ sư hiện nay đều tập trung vào khía cạnh công nghệ của bảo mật, họ không chú trọng đến con người trong quy trình,” ông nói. “Vì vậy, đúng là giao thức được phân quyền, nhưng việc quản trị lại tập trung vào năm người.”
Schwed so sánh lỗ hổng bảo mật của Drift với một trong những vụ tấn công DeFi khét tiếng nhất, trong đó hơn 625 triệu đô la tài sản kỹ thuật số đã bị đánh cắp bởi các hacker có liên hệ với Triều Tiên vào năm 2022. Chúng nhắm mục tiêu vào Ronin, một sidechain của Ethereum được phát triển cho trò chơi NFT nổi tiếng Axie Infinity. Theo công ty bảo mật blockchain Chainalysis , Ronin Axie Infinity công dựa vào việc giành quyền truy cập vào năm khóa riêng tư .
Trong khi các nhà phân tích blockchain nhìn thấy dấu vết của một quốc gia, những người khác lại cho rằng độ chính xác của cuộc tấn công cho thấy sự hiểu biết sâu sắc hơn về giao thức. Schwed nghi ngờ rằng tin tặc có liên hệ với Triều Tiên có liên quan đến vụ tấn công vào Drift vì có vẻ như kẻ tấn công, có thể là người nội bộ, "biết rõ mục tiêu cần nhắm đến".
Những người theo dõi đã suy đoán rằng một "khóa thời gian" có thể đã ngăn chặn việc khai thác diễn ra nhanh chóng như vậy. Tính năng hợp đồng thông minh này hạn chế việc thực hiện giao dịch hoặc truy cập vào tiền cho đến khi đạt đến một thời điểm cụ thể trong tương lai, có khả năng tạo ra cơ hội cho nhóm của Drift can thiệp.
“Khóa thời gian rất hữu ích để có thêm thời gian phản ứng lại cuộc tấn công như vậy, và lẽ ra đã có tác dụng trong trường hợp này—nhưng đó không phải là nguyên nhân gốc rễ,” Stefan Byer, đối tác quản lý tại Oak Security, nói với Decrypt . “Vấn đề lớn nhất là—một lần nữa—khóa đặc quyền đã bị xâm phạm.”
Tuy nhiên, Dan Hongfei, người sáng lập kiêm chủ tịch của Neo Blockchain, lập luận rằng các giao thức như Drift, nơi lưu trữ hàng triệu đô la tiền quỹ, không nên bị rút sạch ngay lập tức.
Trong một bài đăng trên X, ông cho biết cần phải thực thi các khóa thời gian gắn liền với các hành động quan trọng như liệt kê các tài sản có rủi ro cao để "ngăn chặn kẻ tấn công hoàn thành toàn bộ chuỗi khai thác chỉ trong vài giây."
Quan điểm này cũng được Or Dadosh, người sáng lập Venn Network, nhà cung cấp cơ sở hạ tầng bảo mật tiền điện tử, đồng tình. Ông cũng chỉ ra các cơ chế ngắt mạch tự động, cho phép các dự án tạm dừng hoạt động ngay lập tức nếu tốc độ hoặc khối lượng giao dịch chảy ra vượt quá ngưỡng cho phép.
Một số chuyên gia bảo mật dự đoán rằng Drift sẽ không phải là dự án DeFi cuối cùng bị tấn công tương tự như vụ việc xảy ra hôm thứ Tư. Họ lưu ý rằng các đối tượng xấu đang ngày càng chuyển sang sử dụng trí tuệ nhân tạo (AI), sử dụng thuật toán để hiểu rõ hơn về mục tiêu tiếp theo của mình.
“Chúng ta đã đạt đến mức độ mà kẻ xấu có thể giả mạo giọng nói của mẹ bạn trong một cuộc gọi điện thoại,” Dadosh nói với Decrypt . “Chúng ta đang sống trong một thời đại mới, nơi các cuộc tấn công tài chính có thể xuất hiện ở những nơi và dưới những hình thức mà chúng ta thậm chí không thể tưởng tượng nổi cách đây một năm.”
