Hàng triệu tài sản chữ số mất tích, Multichain bị nghi vấn quản lý tài chính sai phạm
Tuyển chọn TechFlowTuyển chọn TechFlow
Hàng triệu tài sản chữ số mất tích, Multichain bị nghi vấn quản lý tài chính sai phạm
Việc sử dụng vốn trong tài khoản được quản lý bởi các nền tảng cầu nối đang bị điều tra.
Chuyên sâu báo cáo Web3
Tác giả:Alexander Gilbert
Theo dự án nghiên cứu phân tích không gian blockchain lớp 2 L2 Beat, Multichain là nền tảng cầu nối xuyên chuỗi với tổng giá trị khóa đạt 1 tỷ USD, đã chuyển gần 80 triệu USD tiền ổn định và 300 Bitcoin, những động thái bất thường này đang bị điều tra.
L2 Beat cho biết Multichain đã di chuyển hàng triệu USD từ tiền người dùng được ủy thác để cung cấp thanh khoản tại các nơi khác trong mạng lưới của họ, hành động này làm dấy lên câu hỏi về mục đích sử dụng tiền. Trước đó, giới truyền thông chưa từng đưa tin về những động thái này cũng như cuộc kiểm tra của L2.
Thỏa thuận xã hội
Bartek Kiepuszewski, nhà nghiên cứu tại L2 Beat, nói với The Defiant: “Vì đây là tiền của người dùng nên hành vi chuyển tiền của Multichain hoặc phải được sự đồng thuận từ người dùng trên chuỗi đó, hoặc họ đã vi phạm thỏa thuận xã hội với người dùng.”
Hầu hết các vụ mất tiền mã hóa do bị tấn công năm nay đều xảy ra ở các cầu nối xuyên chuỗi – công nghệ cho phép người dùng chuyển tài sản kỹ thuật số giữa các blockchain.
Lý do rất rõ ràng: công nghệ cầu nối phức tạp, tạo ra nhiều điểm yếu để kẻ tấn công khai thác. Ngoài ra, chúng tạo thành điểm lỗi đơn lẻ: hợp đồng thông minh giữ tiền người dùng trong tài khoản ủy thác, trong khi tài sản "chuyển" – thực chất là giấy nợ – được phát hành trên chuỗi đích.
Bí ẩn chồng chất
Do đó, khi các nhà nghiên cứu L2 Beat đào sâu vào Multichain và phát hiện mối đe dọa rõ ràng từ bên trong, họ cảm thấy ngạc nhiên.
Bartek Kiepuszewski cho rằng vì đây là tiền của người dùng, hành vi chuyển tiền của Multichain hoặc phải được sự đồng thuận của người dùng trên chuỗi đó, hoặc họ đã vi phạm thỏa thuận xã hội với người dùng.
Theo Kiepuszewski, mặc dù có thể thấy tài sản được chuyển ra khỏi tài khoản ủy thác qua dữ liệu trên chuỗi, nhưng nơi đến cuối cùng của các tài sản này vẫn chưa rõ.
L2 Beat cho biết Multichain tuyên bố tài sản được dùng để cung cấp thanh khoản tại các nơi khác trong mạng lưới của họ, nhưng rất khó xác minh tuyên bố này có đúng hay không.
Michael Lewellen, trưởng bộ phận giải pháp tại công ty an ninh mã hóa Open Zeppelin, cho biết cách làm này thực sự gây vấn đề.
Lewellen nói với The Defiant: “Nếu không có phương pháp rõ ràng để xác định tài sản mà cầu nối tuyên bố hỗ trợ không tồn tại ở một nơi nào đó có thể kiểm chứng công khai, tôi nghĩ chúng ta cần đặc biệt quan tâm đến cầu nối đó.”
Những phát biểu của L2 đặt dấu hỏi về hành vi và thực tiễn an toàn của tổ chức đang nắm giữ hơn 1 tỷ USD tiền người dùng. Multichain kết nối hàng chục blockchain và hỗ trợ chuyển giao hàng ngàn loại tài sản. Việc xác minh xem Multichain còn sở hữu tiền mã hóa đó hay không, tài sản có bị đánh cắp hay tham gia đánh bạc trong các giao thức DeFi hay không, sẽ là nhiệm vụ vô cùng khó khăn.
Nghi vấn mới
Hơn nữa, những cáo buộc này có thể làm dấy lên nghi ngờ mới đối với công nghệ cầu nối xuyên chuỗi – công nghệ đã chịu tổn thất nặng nề do bị tấn công trong năm nay.
Theo bảng xếp hạng các vụ khai thác của Rekt, trong các vụ tấn công năm nay, có 3 vụ nằm trong top 5 vụ mất mát lớn nhất lịch sử tiền mã hóa, và cả 3 đều liên quan đến tấn công cầu nối xuyên chuỗi. Hơn 600 triệu USD bị đánh cắp từ Ronin Network. Gần 600 triệu USD bị lấy từ cầu nối Binance. Cầu nối Wormhole bị mất hơn 300 triệu USD.
Multichain chưa phản hồi nhiều yêu cầu bình luận được gửi qua địa chỉ email được liệt kê trên trang web của họ.
Giả định an toàn
Phần này làm nổi bật vai trò của L2 trong việc kiểm tra không gian mở rộng blockchain. Khi giao thức cho vay Maker cân nhắc việc mở rộng sang các blockchain lớp 2 như Optimism và Arbitrum, họ cần hiểu rõ hơn về cách các blockchain này vận hành.
Dự án sau đó tách ra khỏi Maker và trở thành L2 Beat – một trang web liệt kê nhiều blockchain lớp 2, lượng tiền mà chúng nắm giữ, và các giả định an toàn mà chúng đưa ra.
Tháng này, dự án đã mở rộng với việc ra mắt bảng điều khiển giao thức cầu nối. Bên cạnh Multichain – giao thức cầu nối xuyên chuỗi lớn thứ hai thế giới – đội ngũ L2 Beat đã thêm một biểu tượng khiên vàng nhỏ kèm dấu chấm than, cảnh báo người dùng về nghi ngờ hành vi sai phạm của Multichain.
Kiepuszewski giải thích: “Mỗi cầu nối hoạt động theo cách tương tự nhau, người dùng gửi tài sản đến một địa chỉ, tài sản 'mới' sẽ được các trình xác thực đúc trên chuỗi đích. Nếu người dùng muốn chuyển tài sản về chuỗi nguồn, quy trình ngược lại diễn ra: người dùng đốt tài sản trên chuỗi đích, trình xác thực phải giải phóng tài sản từ địa chỉ ủy thác ban đầu.”
Mạng lưới thanh khoản
Các giao thức cầu nối không thể đúc tài sản mới trên chuỗi đích sử dụng phương pháp “mạng lưới thanh khoản” để thực hiện chuyển tài sản xuyên chuỗi. Các nhà cung cấp thanh khoản gửi tài sản vào các nhóm thanh khoản trên chuỗi đích. Tài sản này có sẵn cho người dùng chuyển đến blockchain đó, và khi người dùng rút tài sản gốc từ chuỗi ban đầu, tài sản sẽ trở lại nhóm thanh khoản.
Theo L2 Beat, Multichain kết nối hàng chục blockchain và sử dụng cả hai phương pháp cầu nối trên. Tùy trường hợp cụ thể, họ áp dụng phương pháp đúc tài sản hoặc xây dựng nhóm thanh khoản.
Kiepuszewski cho biết ông đã liên hệ với Multichain, đại diện họ nói rằng tài sản mã hóa đã được dùng để cung cấp thanh khoản xuyên chuỗi.
Kiepuszewski nói: “Họ cho rằng điều này không thành vấn đề vì tiền vẫn nằm trong hệ sinh thái Multichain, và theo họ, người dùng luôn có thể rút số tiền mình cần. Nhưng việc kiểm toán giờ đây trở nên cực kỳ phức tạp, bởi bạn phải phân tích toàn bộ hệ sinh thái Multichain, đúng không?”
Lewellen từ Open Zeppelin đồng ý với quan điểm này. Ông nói: “Ngay cả với mạng lưới thanh khoản, ít nhất cũng có cách để xem các nhóm thanh khoản khác nhau (do các nhà cung cấp thanh khoản tham gia tạo lập) và các chuỗi khác nhau, rồi xác định tổng tài sản do cầu nối phát hành có khớp với một số nhóm thanh khoản ở nơi khác hay không.”
Cả Lewellen và Kiepuszewski đều cho rằng nếu có bảng điều khiển hiển thị luồng tiền người dùng, sẽ rất hữu ích trong việc giảm bớt lo ngại về dòng chảy tài sản mã hóa.
Lỗ hổng phần mềm
Kiepuszewski cho biết, khi đánh giá xem Multichain có phải là nơi an toàn để lưu tiền hay không, một vấn đề mới đã xuất hiện. Thông thường, kiểm toán tập trung vào việc xác minh có lỗ hổng phần mềm hay không. Giờ đây, người dùng còn nghi ngờ xem bản thân Multichain có đáng tin cậy để gửi tiền hay không.
Ngay cả khi tiền được bảo quản an toàn, việc rút tiền kịp thời cũng có thể rất khó khăn. Lewellen cho biết điều này cũng phơi bày vấn đề riêng của Multichain, khi lượng Dai trên cầu nối Fantom của Multichain dường như ít hơn lượng Dai mà Multichain đã đúc trên Fantom.
Chưa rõ ràng
Theo L2 Beat, hơn 52 triệu USD Dai đã được cầu nối tới blockchain lớp 1 Fantom, và các tài sản này được cho là đã bị các trình xác thực Multichain lấy ra khỏi tài khoản ủy thác.
Theo Lewellen, nếu Dai mất neo với đô la Mỹ và những người nắm giữ Dai trên Fantom muốn đổi Dai sang USD, họ có thể mất rất nhiều tiền trong quá trình định vị và chuyển lượng Dai lẽ ra phải được giữ trong tài khoản ủy thác.
Ông nói: “Tình huống trên có thể không xảy ra ngay lập tức, nhưng nếu các yếu tố này kết hợp theo cách bất lợi cho Multichain, thì khả năng xảy ra là có. Tôi nghĩ đây là nguồn cơn cuối cùng của sự lo ngại, chỉ là chưa rõ Multichain quản lý rủi ro này như thế nào.”
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
